本頁面由 Cloud Translation API 翻譯而成。

收集 VMware ESXi 記錄檔

支援的國家/地區：

Google SecOps SIEM

總覽

這個剖析器會從 VMware ESXi 系統記錄和 JSON 格式記錄中擷取欄位。這項功能會將各種 ESXi 記錄格式標準化為通用結構，然後根據擷取的值填入 UDM 欄位，包括使用 include 檔案處理不同 ESXi 服務的特定案例，例如 crond、named 和 sshd。

事前準備

確認您擁有 Google SecOps 執行個體。
確認您具備 VMWare ESX 的特殊權限。
請確認您有 Windows 2012 SP2 以上版本或 Linux 主機 (含 systemd)。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

如要在 Windows 上安裝，請執行下列指令碼：msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。
如要安裝 Linux，請執行下列指令碼：sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。
如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取安裝 Bindplane 代理程式的機器。

按照下列方式編輯 config.yaml 檔案：

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

使用下列指令重新啟動 Bindplane 代理程式，以套用變更： sudo systemctl bindplane restart

允許 Syslog ESXi 防火牆規則

依序前往「網路」>「防火牆規則」。
在「Name」(名稱) 欄中找到「syslog」。
按一下「編輯設定」。
更新您在 Bindplane 中設定的 tcp 或 udp 連接埠。
按一下 [儲存]。
保持選取 syslog 行。
依序選取「動作」>「啟用」。

使用 vSphere Client 從 VMware ESXi 匯出系統記錄

使用 vSphere Client 登入 ESXi 主機。
依序前往「管理」>「系統」>「進階設定」。
在清單中找出 Syslog.global.logHost 鍵。
選取金鑰，然後按一下「編輯選項」。
輸入 <protocol>://<destination_IP>:<port>
- 將 <protocol> 替換為 tcp (如果您已將 Bindplane 代理程式設定為使用 UDP，請輸入 udp)。
- 將 <destination_IP> 替換為 Bindplane 代理程式的 IP 位址。
- 將 <port> 替換為先前在 Bindplane 代理程式中設定的連接埠。
按一下 [儲存]。

選用：使用 SSH 從 VMware ESXi 匯出系統記錄

使用 SSH 連線至 ESXi 主機。
使用 esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port> 指令。
- 將 <protocol> 替換為 tcp (如果您已將 Bindplane 代理程式設定為使用 UDP，請輸入 udp)。
- 將 <destination_IP> 替換為 Bindplane 代理程式的 IP 位址。
- 將 <port> 替換為先前在 Bindplane 中設定的連接埠。
輸入 /etc/init.d/syslog restart 指令，重新啟動系統記錄服務。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`@fields.alias`	`event.idm.read_only_udm.principal.cloud.project.alias`	直接從 JSON 記錄的 `@fields.alias` 欄位對應。
`@fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	直接從 JSON 記錄的 `@fields.company_name` 欄位對應。
`@fields.facility`	`event.idm.read_only_udm.principal.resource.type`	直接從 JSON 記錄的 `@fields.facility` 欄位對應。
`@fields.host`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從 JSON 記錄的 `@fields.host` 欄位對應。
`@fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	直接從 JSON 記錄的 `@fields.privatecloud_id` 欄位對應。
`@fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	直接從 JSON 記錄的 `@fields.privatecloud_name` 欄位對應。
`@fields.procid`	`event.idm.read_only_udm.principal.process.pid`	直接從 JSON 記錄的 `@fields.procid` 欄位對應。
`@fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	直接從 JSON 記錄的 `@fields.region_id` 欄位對應。
`@fields.severity`	`event.idm.read_only_udm.security_result.severity`	對應自 JSON 記錄的 `@fields.severity` 欄位。如果值為「info」或類似內容，則會對應至「INFORMATIONAL」。
`@timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	使用 `date` 篩選器，從記錄的 `@timestamp` 欄位剖析並轉換為時間戳記物件。
`adapter`	`event.idm.read_only_udm.target.resource.name`	直接從原始記錄的 `adapter` 欄位對應。
`action`	`event.idm.read_only_udm.security_result.action`	直接從原始記錄的 `action` 欄位對應。使用「ALLOW」和「BLOCK」等值。
`action`	`event.idm.read_only_udm.security_result.action_details`	直接從原始記錄的 `action` 欄位對應。使用「重新導向」等值。
`administrative_domain`	`event.idm.read_only_udm.principal.administrative_domain`	直接從原始記錄的 `administrative_domain` 欄位對應。
`agent.hostname`	`event.idm.read_only_udm.intermediary.hostname`	直接從 JSON 記錄的 `agent.hostname` 欄位對應。
`agent.id`	`event.idm.read_only_udm.intermediary.asset.id`	直接從 JSON 記錄的 `agent.id` 欄位對應。
`agent.name`	`event.idm.read_only_udm.intermediary.asset.name`	直接從 JSON 記錄的 `agent.name` 欄位對應。
`agent.type`	`event.idm.read_only_udm.intermediary.asset.type`	直接從 JSON 記錄的 `agent.type` 欄位對應。
`agent.version`	`event.idm.read_only_udm.intermediary.asset.version`	直接從 JSON 記錄的 `agent.version` 欄位對應。
`app_name`	`event.idm.read_only_udm.principal.application`	直接從原始記錄的 `app_name` 欄位對應。
`app_protocol`	`event.idm.read_only_udm.network.application_protocol`	直接從原始記錄的 `app_protocol` 欄位對應。如果值與「http」相符 (不區分大小寫)，則會對應至「HTTP」。
`application`	`event.idm.read_only_udm.principal.application`	直接從 JSON 記錄的 `program` 欄位對應。
`cmd`	`event.idm.read_only_udm.target.process.command_line`	直接從原始記錄的 `cmd` 欄位對應。
`collection_time`	`event.idm.read_only_udm.metadata.event_timestamp`	系統會將 `collection_time` 欄位的奈秒數加到 `collection_time` 欄位的秒數，建立 `event_timestamp`。
`data`	`event.idm.read_only_udm.metadata.description`	系統會剖析原始記錄訊息，並擷取相關部分，填入說明欄位。
`descrip`	`event.idm.read_only_udm.metadata.description`	直接從原始記錄的 `descrip` 欄位對應。
`dns.answers.data`	`event.idm.read_only_udm.network.dns.answers.data`	直接從 JSON 記錄的 `dns.answers.data` 欄位對應。
`dns.answers.ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	直接從 JSON 記錄的 `dns.answers.ttl` 欄位對應。
`dns.answers.type`	`event.idm.read_only_udm.network.dns.answers.type`	直接從 JSON 記錄的 `dns.answers.type` 欄位對應。
`dns.questions.name`	`event.idm.read_only_udm.network.dns.questions.name`	直接從 JSON 記錄的 `dns.questions.name` 欄位對應。
`dns.questions.type`	`event.idm.read_only_udm.network.dns.questions.type`	直接從 JSON 記錄的 `dns.questions.type` 欄位對應。
`dns.response`	`event.idm.read_only_udm.network.dns.response`	直接從 JSON 記錄的 `dns.response` 欄位對應。
`ecs.version`	`event.idm.read_only_udm.metadata.product_version`	直接從 JSON 記錄的 `ecs.version` 欄位對應。
`event_message`	`event.idm.read_only_udm.metadata.description`	直接從 JSON 記錄的 `event_message` 欄位對應。
`event_metadata`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	系統會剖析 `event_metadata` 欄位，擷取 `opID` 值，然後在該值前面加上「opID:」，並對應至 UDM。
`event_type`	`event.idm.read_only_udm.metadata.event_type`	直接從 JSON 記錄的 `event_type` 欄位對應。
`filepath`	`event.idm.read_only_udm.target.file.full_path`	直接從原始記錄的 `filepath` 欄位對應。
`fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	直接從 JSON 記錄的 `fields.company_name` 欄位對應。
`fields.facility`	`event.idm.read_only_udm.principal.resource.type`	直接從 JSON 記錄的 `fields.facility` 欄位對應。
`fields.host`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從 JSON 記錄的 `fields.host` 欄位對應。
`fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	直接從 JSON 記錄的 `fields.privatecloud_id` 欄位對應。
`fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	直接從 JSON 記錄的 `fields.privatecloud_name` 欄位對應。
`fields.procid`	`event.idm.read_only_udm.principal.process.pid`	直接從 JSON 記錄的 `fields.procid` 欄位對應。
`fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	直接從 JSON 記錄的 `fields.region_id` 欄位對應。
`fields.severity`	`event.idm.read_only_udm.security_result.severity`	對應自 JSON 記錄的 `fields.severity` 欄位。如果值為「info」或類似內容，則會對應至「INFORMATIONAL」。
`host.architecture`	`event.idm.read_only_udm.principal.asset.architecture`	直接從 JSON 記錄的 `host.architecture` 欄位對應。
`host.containerized`	`event.idm.read_only_udm.principal.asset.containerized`	直接從 JSON 記錄的 `host.containerized` 欄位對應。
`host.hostname`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從 JSON 記錄的 `host.hostname` 欄位對應。
`host.id`	`event.idm.read_only_udm.principal.asset.id`	直接從 JSON 記錄的 `host.id` 欄位對應。
`host.ip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	直接從 JSON 記錄的 `host.ip` 欄位對應。
`host.mac`	`event.idm.read_only_udm.principal.mac`、`event.idm.read_only_udm.principal.asset.mac`	直接從 JSON 記錄的 `host.mac` 欄位對應。
`host.name`	`event.idm.read_only_udm.principal.asset.name`	直接從 JSON 記錄的 `host.name` 欄位對應。
`host.os.codename`	`event.idm.read_only_udm.principal.asset.os.codename`	直接從 JSON 記錄的 `host.os.codename` 欄位對應。
`host.os.family`	`event.idm.read_only_udm.principal.asset.os.family`	直接從 JSON 記錄的 `host.os.family` 欄位對應。
`host.os.kernel`	`event.idm.read_only_udm.principal.asset.os.kernel`	直接從 JSON 記錄的 `host.os.kernel` 欄位對應。
`host.os.name`	`event.idm.read_only_udm.principal.asset.os.name`	直接從 JSON 記錄的 `host.os.name` 欄位對應。
`host.os.platform`	`event.idm.read_only_udm.principal.asset.os.platform`	直接從 JSON 記錄的 `host.os.platform` 欄位對應。
`host.os.version`	`event.idm.read_only_udm.principal.asset.os.version`	直接從 JSON 記錄的 `host.os.version` 欄位對應。
`iporhost`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從原始記錄的 `iporhost` 欄位對應。
`iporhost`	`event.idm.read_only_udm.principal.ip`	如果這是 IP 位址，則直接從原始記錄的 `iporhost` 欄位對應。
`iporhost1`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從原始記錄的 `iporhost1` 欄位對應。
`kv_data1`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	系統會剖析 `kv_data1` 欄位，擷取 `opID` 或 `sub` 值，然後分別加上「opID:」或「sub:」，並對應至 UDM。
`kv_msg`	`event.idm.read_only_udm.additional.fields`	系統會將 `kv_msg` 欄位剖析為鍵/值組合，並新增至 UDM 中的 `additional_fields` 陣列。
`kv_msg1`	`event.idm.read_only_udm.additional.fields`	系統會將 `kv_msg1` 欄位剖析為鍵/值組合，並新增至 UDM 中的 `additional_fields` 陣列。
`lbdn`	`event.idm.read_only_udm.target.hostname`	直接從原始記錄的 `lbdn` 欄位對應。
`log.source.address`	`event.idm.read_only_udm.observer.hostname`	直接從 JSON 記錄的 `log.source.address` 欄位對應，只取主機名稱部分。
`log_event.original`	`event.idm.read_only_udm.metadata.description`	直接從 JSON 記錄的 `event.original` 欄位對應。
`log_level`	`event.idm.read_only_udm.security_result.severity_details`	直接從 JSON 記錄的 `log_level` 欄位對應。
`logstash.collect.host`	`event.idm.read_only_udm.observer.hostname`	直接從 JSON 記錄的 `logstash.collect.host` 欄位對應。
`logstash.collect.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	使用 `date` 篩選器，從記錄的 `logstash.collect.timestamp` 欄位剖析並轉換為時間戳記物件。
`logstash.ingest.host`	`event.idm.read_only_udm.intermediary.hostname`	直接從 JSON 記錄的 `logstash.ingest.host` 欄位對應。
`logstash.ingest.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	使用 `date` 篩選器，從記錄的 `logstash.ingest.timestamp` 欄位剖析並轉換為時間戳記物件。
`logstash.process.host`	`event.idm.read_only_udm.intermediary.hostname`	直接從 JSON 記錄的 `logstash.process.host` 欄位對應。
`logstash.process.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	使用 `date` 篩選器，從記錄的 `logstash.process.timestamp` 欄位剖析並轉換為時間戳記物件。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	直接從原始記錄的 `log_type` 欄位對應。
`message`	`event.idm.read_only_udm.metadata.description`	直接從 JSON 記錄的 `message` 欄位對應。
`message_to_process`	`event.idm.read_only_udm.metadata.description`	直接從原始記錄的 `message_to_process` 欄位對應。
`metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	一開始設為「GENERIC_EVENT」，然後可能會根據剖析的 `service` 或其他記錄內容覆寫。可以是 `PROCESS_LAUNCH`、`NETWORK_CONNECTION`、`USER_LOGIN` 等值。
`metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	直接從原始記錄的 `process_id` 或 `prod_event_type` 欄位對應。
`metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	直接從原始記錄的 `event_id` 欄位對應。
`metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	設為「ESX」。
`metadata.product_version`	`event.idm.read_only_udm.metadata.product_version`	直接從 JSON 記錄的 `version` 欄位對應。
`metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	設為「VMWARE」。
`msg`	`event.idm.read_only_udm.metadata.description`	直接從原始記錄的 `msg` 欄位對應。
`network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	如果 `service` 為「named」，請設為「DNS」；如果通訊埠為 443，請設為「HTTPS」；如果 `app_protocol` 符合「http」，請設為「HTTP」。
`network.direction`	`event.idm.read_only_udm.network.direction`	根據原始記錄中的關鍵字 (例如「IN」、「OUT」、「->」) 判斷。可以是 `INBOUND` 或 `OUTBOUND`。
`network.http.method`	`event.idm.read_only_udm.network.http.method`	直接從原始記錄的 `method` 欄位對應。
`network.http.parsed_user_agent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	使用 `convert` 篩選器從 `useragent` 欄位剖析。
`network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	直接從原始記錄的 `prin_url` 欄位對應。
`network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	直接從原始記錄的 `status_code` 欄位對應，並轉換為整數。
`network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接從原始記錄的 `useragent` 欄位對應。
`network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	根據原始記錄中的關鍵字判斷，例如「TCP」、「UDP」。
`network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	直接從原始記錄的 `rec_bytes` 欄位對應，並轉換為不帶正負號的整數。
`network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	從原始記錄的 `message_to_process` 欄位擷取。
`network.session_id`	`event.idm.read_only_udm.network.session_id`	直接從原始記錄的 `session` 欄位對應。
`pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	直接從原始記錄的 `pid` 欄位對應。
`pid`	`event.idm.read_only_udm.principal.process.pid`	直接從 JSON 記錄的 `pid` 欄位對應。
`pid`	`event.idm.read_only_udm.target.process.pid`	直接從原始記錄的 `pid` 欄位對應。
`port`	`event.idm.read_only_udm.target.port`	直接從 JSON 記錄的 `port` 欄位對應。
`principal.application`	`event.idm.read_only_udm.principal.application`	直接從原始記錄的 `app_name` 或 `service` 欄位對應。
`principal.asset.hostname`	`event.idm.read_only_udm.principal.asset.hostname`	直接從原始記錄的 `principal_hostname` 或 `iporhost` 欄位對應。
`principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	直接從原始記錄的 `syslog_ip` 欄位對應。
`principal.hostname`	`event.idm.read_only_udm.principal.hostname`	直接從原始記錄的 `principal_hostname` 或 `iporhost` 欄位對應。
`principal.ip`	`event.idm.read_only_udm.principal.ip`	直接從原始記錄的 `iporhost` 或 `syslog_ip` 欄位對應。
`principal.port`	`event.idm.read_only_udm.principal.port`	直接從原始記錄的 `srcport` 欄位對應。
`principal.process.command_line`	`event.idm.read_only_udm.principal.process.command_line`	直接從原始記錄的 `cmd` 欄位對應。
`principal.process.parent_process.pid`	`event.idm.read_only_udm.principal.process.parent_process.pid`	直接從原始記錄的 `parent_pid` 欄位對應。
`principal.process.pid`	`event.idm.read_only_udm.principal.process.pid`	直接從原始記錄的 `process_id` 欄位對應。
`principal.process.product_specific_process_id`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	從原始記錄的 `message_to_process` 欄位擷取，通常會加上「opID:」前置字串。
`principal.url`	`event.idm.read_only_udm.principal.url`	直接從原始記錄的 `prin_url` 欄位對應。
`principal.user.company_name`	`event.idm.read_only_udm.principal.user.company_name`	直接從 JSON 記錄的 `fields.company_name` 欄位對應。
`principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	直接從原始記錄的 `USER` 欄位對應。
`priority`	`event.idm.read_only_udm.metadata.product_event_type`	直接從原始記錄的 `priority` 欄位對應。
`program`	`event.idm.read_only_udm.principal.application`	直接從 JSON 記錄的 `program` 欄位對應。
`qname`	`event.idm.read_only_udm.network.dns.questions.name`	直接從原始記錄的 `qname` 欄位對應。
`response_data`	`event.idm.read_only_udm.network.dns.answers.data`	直接從原始記錄的 `response_data` 欄位對應。
`response_rtype`	`event.idm.read_only_udm.network.dns.answers.type`	直接從原始記錄的 `response_rtype` 欄位對應。系統會擷取 DNS 記錄類型編號。
`response_ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	直接從原始記錄的 `response_ttl` 欄位對應。
`rtype`	`event.idm.read_only_udm.network.dns.questions.type`	直接從原始記錄的 `rtype` 欄位對應。系統會擷取 DNS 記錄類型編號。
`security_result.action`	`event.idm.read_only_udm.security_result.action`	根據原始記錄中的關鍵字或狀態判斷。可以是 `ALLOW` 或 `BLOCK`。
`security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	從原始記錄訊息擷取，提供所採取動作的更多背景資訊。
`security_result.category`	`event.idm.read_only_udm.security_result.category`	如果記錄檔指出符合防火牆規則，請設為 `POLICY_VIOLATION`。
`security_result.description`	`event.idm.read_only_udm.security_result.description`	從原始記錄訊息中擷取，提供安全性結果的更多背景資訊。
`security_result.rule_id`	`event.idm.read_only_udm.security_result.rule_id`	直接從原始記錄的 `rule_id` 欄位對應。
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	根據原始記錄中的關鍵字判斷，例如「info」、「warning」、「error」。可以是 `INFORMATIONAL`、`LOW`、`MEDIUM` 或 `HIGH`。
`security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	直接從原始記錄的 `severity` 或 `log.syslog.severity.name` 欄位對應。
`security_result.summary`	`event.idm.read_only_udm.security_result.summary`	從原始記錄訊息中擷取，提供安全性結果的簡要摘要。
`service`	`event.idm.read_only_udm.principal.application`	直接從原始記錄的 `service` 欄位對應。
`source`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從原始記錄的 `source` 欄位對應。
`src.file.full_path`	`event.idm.read_only_udm.src.file.full_path`	從原始記錄訊息擷取。
`src.hostname`	`event.idm.read_only_udm.src.hostname`	直接從原始記錄的 `src.hostname` 欄位對應。
`src_ip`	`event.idm.read_only_udm.principal.ip`	直接從原始記錄的 `src_ip` 欄位對應。
`src_mac_address`	`event.idm.read_only_udm.principal.mac`	直接從原始記錄的 `src_mac_address` 欄位對應。
`srcport`	`event.idm.read_only_udm.principal.port`	直接從原始記錄的 `srcport` 欄位對應。
`srcip`	`event.idm.read_only_udm.principal.ip`	直接從原始記錄的 `srcip` 欄位對應。
`subtype`	`event.idm.read_only_udm.metadata.event_type`	直接從原始記錄的 `subtype` 欄位對應。
`tags`	`event.idm.read_only_udm.metadata.tags`	直接從 JSON 記錄的 `tags` 欄位對應。
`target.application`	`event.idm.read_only_udm.target.application`	直接從原始記錄的 `target_application` 欄位對應。
`target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	從原始記錄訊息擷取。
`target.hostname`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`	直接從原始記錄的 `target_hostname` 或 `iporhost` 欄位對應。
`target.ip`	`event.idm.read_only_udm.target.ip`	直接從原始記錄的 `target_ip` 欄位對應。
`target.mac`	`event.idm.read_only_udm.target.mac`	直接從原始記錄的 `target_mac_address` 欄位對應。
`target.port`	`event.idm.read_only_udm.target.port`	直接從原始記錄的 `target_port` 欄位對應。
`target.process.command_line`	`event.idm.read_only_udm.target.process.command_line`	直接從原始記錄的 `cmd` 欄位對應。
`target.process.parent_process.pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	直接從原始記錄的 `parent_pid` 欄位對應。
`target.process.pid`	`event.idm.read_only_udm.target.process.pid`	直接從原始記錄的 `pid` 欄位對應。
`target.process.product_specific_process_id`	`event.idm.read_only_udm.target.process.product_specific_process_id`	從原始記錄的 `message_to_process` 欄位擷取，通常會加上「opID:」前置字串。
`target.resource.name`	`event.idm.read_only_udm.target.resource.name`	直接從原始記錄的 `adapter` 欄位對應。
`target.resource.resource_type`	`event.idm.read_only_udm.target.resource.resource_type`	如果記錄指出 VM 作業，請設為 `VIRTUAL_MACHINE`。
`target.resource.type`	`event.idm.read_only_udm.target.resource.type`	如果記錄指出設定已修改，請設為 `SETTING`。
`target.user.userid`	`event.idm.read_only_udm.target.user.userid`	直接從原始記錄的 `target_username` 或 `user1` 欄位對應。
`timestamp`	`event.timestamp`	使用 `date` 篩選器，從記錄的 `timestamp` 或 `data` 欄位剖析並轉換為時間戳記物件。
`type`	`event.idm.read_only_udm.additional.fields`	記錄的 `type` 欄位會新增至 UDM 的 `additional_fields` 陣列，並使用「LogType」鍵。
`user1`	`event.idm.read_only_udm.target.user.userid`	直接從原始記錄的 `user1` 欄位對應。
`useragent`	`event.idm.read_only_udm.network.http.user_agent`	直接從原始記錄的 `useragent` 欄位對應。
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	直接從原始記錄的 `vmw_cluster` 欄位對應。
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.name`	直接從原始記錄的 `vmw_datacenter` 欄位對應。
`vmw_host`	`event.idm.read_only_udm.target.ip`	直接從原始記錄的 `vmw_host` 欄位對應。
`vmw_object_id`	`event.idm.read_only_udm.target.resource.id`	直接從原始記錄的 `vmw_object_id` 欄位對應。
`vmw_product`	`event.idm.read_only_udm.target.application`	直接從原始記錄的 `vmw_product` 欄位對應。
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	直接從原始記錄的 `vmw_vcenter` 欄位對應。
`vmw_vcenter_id`	`event.idm.read_only_udm.target.cloud.availability_zone.id`	直接從原始記錄的 `vmw_vcenter_id` 欄位對應。
`vmw_vr_ops_appname`	`event.idm.read_only_udm.target.application`	直接從原始記錄的 `vmw_vr_ops_appname` 欄位對應。
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.target.resource.name`	直接從原始記錄的 `vmw_vr_ops_clustername` 欄位對應。
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.target.resource.type`	直接從原始記錄的 `vmw_vr_ops_clusterrole` 欄位對應。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。