此页面由 Cloud Translation API 翻译。

收集 Wazuh 日志

支持的平台：

Google SecOps SIEM

概览

此 Wazuh 解析器会提取 SYSLOG 和 JSON 格式的日志，将字段标准化为常见格式，并使用 Wazuh 专用元数据对其进行丰富。然后，它会根据 event_type 和 rule_id 字段使用一系列条件语句将原始日志数据映射到适当的 UDM 事件类型和字段，以处理 Wazuh 生态系统中的各种日志格式和边界情况。

准备工作

确保您拥有 Google SecOps 实例。
确保您拥有有效的 Wazuh 实例。
确保您拥有对 Wazuh 配置文件的特权访问权限。

在 Google SecOps 中配置 Feed 以注入 Wazuh 日志

依次前往 SIEM 设置 > Feed。
点击新增。
在Feed 名称字段中，输入 Feed 的名称（例如 Wazuh 日志）。
选择 Webhook 作为来源类型。
选择 Wazuh 作为日志类型。
点击下一步。
可选：为以下输入参数指定值：
- 分隔符：用于分隔日志行（例如 \n）的分隔符。
- 资源命名空间：资源命名空间。
- 提取标签：应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看 Feed 配置，然后点击提交。
点击生成 Secret 密钥，生成用于对此 Feed 进行身份验证的 Secret 密钥。
复制并存储密钥。您将无法再查看此密钥。如有必要，您可以重新生成新的 Secret 密钥，但此操作会使之前的 Secret 密钥过时。
在详情标签页中，从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
点击完成。

为该网站钩子 Feed 创建 API 密钥

依次前往 Google Cloud 控制台 > 凭据。

转到“凭据”页面
点击创建凭据，然后选择 API 密钥。
限制 API 密钥对 Google Security Operations API 的访问权限。

指定端点网址

在客户端应用中，指定 webhook Feed 中提供的 HTTPS 端点网址。
通过在自定义标头中指定 API 密钥和密钥（格式如下）来启用身份验证：
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
建议：请以标头的形式指定 API 密钥，而不是在网址中指定。如果您的 webhook 客户端不支持自定义标头，您可以使用以下格式的查询参数指定 API 密钥和密钥：
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

替换以下内容：

ENDPOINT_URL：Feed 端点网址。
API_KEY：用于对 Google Security Operations 进行身份验证的 API 密钥。
SECRET：您为对 Feed 进行身份验证而生成的密钥。

配置 Wazuh Cloud Webhook

如需配置 Wazuh Cloud Webhook，请完成以下步骤：

登录您的 Wazuh Cloud。
前往左侧窗格菜单中的服务器管理下方的设置。
点击修改配置。
在配置的 <integration> 部分中添加以下集成块。
- 如果该部分不存在，请使用 <integration> 复制整个代码块以创建该部分。
- 将占位符值替换为您的实际 Google SecOps 详细信息：

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION：您的 Google SecOps 区域（例如 us、europe-west1）。
GOOGLE_PROJECT_NUMBER：您的 Google Cloud 项目编号。
LOCATION：您的 Google SecOps 区域（例如 us、europe-west1）。
CUSTOMER_ID：您的 Google SecOps 客户 ID。
FEED_ID：您的 Google SecOps Feed 的 ID。
API_KEY：托管 Google SecOps 的 Google Cloud 的 API 密钥。
SECRET：您的 Google SecOps Feed 的 Secret。
alert_format：设置为 json 以实现与 Google SecOps 的兼容性。
level：指定要转发的最低提醒级别。0 会发送所有提醒。

点击保存按钮。
点击 Restart wazuh-manager（重启 wazuh-manager）。

配置 Wazuh 本地 Webhook

如需配置 Wazuh 本地 Webhook，请完成以下步骤：

访问您的本地 Wazuh 管理器。
前往 /var/ossec/etc/ 目录。
使用文本编辑器（例如 nano、vim）打开 ossec.conf 文件。
在配置的 <integration> 部分中添加以下集成块。
- 如果该部分不存在，请使用 <integration> 复制整个代码块以创建该部分。
- 将占位符值替换为您的实际 Google SecOps 详细信息：
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION：您的 Google SecOps 区域（例如 us、europe-west1）。
- GOOGLE_PROJECT_NUMBER：您的 Google Cloud 项目编号。
- LOCATION：您的 Google SecOps 区域（例如 us、europe-west1）。
- CUSTOMER_ID：您的 Google SecOps 客户 ID。
- FEED_ID：您的 Google SecOps Feed 的 ID。
- API_KEY：托管 Google SecOps 的 Google Cloud 的 API 密钥。
- SECRET：您的 Google SecOps Feed 的 Secret。
- alert_format：设置为 json 以实现与 Google SecOps 的兼容性。
- level：指定要转发的最低提醒级别。0 会发送所有提醒。
重启 Wazuh 管理器以应用更改：
```
sudo systemctl restart wazuh-manager
```

UDM 映射表

日志字段	UDM 映射	逻辑
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	直接从 `Acct-Authentic` 字段映射。
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `Acct-Status-Type` 字段映射。键设置为“Acct-Status-Type”。
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	直接从 `agent.id` 字段映射。
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`、`event.idm.read_only_udm.intermediary.asset.ip`、`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	直接从 `agent.ip` 字段映射。在某些情况下，根据事件类型，还用于主 IP/目标 IP。
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	直接从 `agent.name` 字段映射。
`application`	`event.idm.read_only_udm.target.application`	直接从 Wazuh `application` 字段映射。
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	直接从 `audit-session-id` 字段映射。
`ClientIP`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `ClientIP` 字段映射。
`ClientPort`	`event.idm.read_only_udm.principal.port`	直接从 `ClientPort` 字段映射并转换为整数。
`cmd`	`event.idm.read_only_udm.target.process.command_line`	直接从 `cmd` 字段映射。
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	直接从 `CommandLine` 字段映射。
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	直接从 `ConfigVersionId` 字段映射。该键设置为“Config Version Id”。
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	直接从特定规则 ID 的 `data.Account Number` 字段映射而来。
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	直接从特定规则 ID 的 `data.Control` 字段映射而来。
`data.Message`	`event.idm.read_only_udm.security_result.description`	直接从特定规则 ID 的 `data.Message` 字段映射而来。
`data.Profile`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从特定规则 ID 的 `data.Profile` 字段映射而来。
`data.Region`	`event.idm.read_only_udm.principal.location.name`	直接从特定规则 ID 的 `data.Region` 字段映射而来。
`data.Status`	`event.idm.read_only_udm.security_result.action`	从 `data.Status` 字段映射而来。如果值为“Pass”或“AUDIT_SUCCESS”，则操作会设为“ALLOW”。如果值为“ERROR”“AUDIT_FAILURE”或“FAIL”，则操作会设为“BLOCK”。
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	直接从特定规则 ID 的 `data.aws.awsRegion` 字段映射而来。
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接从 `data.aws.eventID` 字段映射。键设置为“事件 ID”。
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	直接从特定规则 ID 的 `data.aws.eventName` 字段映射而来。
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	直接从特定规则 ID 的 `data.aws.eventSource` 字段映射而来。
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	直接从特定规则 ID 的 `data.aws.eventType` 字段映射而来。
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接从 `data.aws.requestID` 字段映射。键设置为“请求 ID”。
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接从 `data.aws.requestParameters.loadBalancerName` 字段映射。键设置为“LoadBalancer Name”。
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从特定规则 ID 的 `data.aws.sourceIPAddress` 字段映射而来。
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `data.aws.source_ip_address` 字段映射。
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	直接从特定规则 ID 的 `data.aws.userIdentity.accountId` 字段映射而来。
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	直接从特定规则 ID 的 `data.aws.userIdentity.principalId` 字段映射而来。
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接从 `data.aws.userIdentity.sessionContext.sessionIssuer.arn` 字段映射。键设置为“ARN”。
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	直接从特定规则 ID 的 `data.aws.userIdentity.sessionContext.sessionIssuer.userName` 字段映射而来。
`data.command`	`event.idm.read_only_udm.target.file.full_path`	直接从 `data.command` 字段映射。
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	直接从 `data.docker.message` 字段映射到特定事件类型。
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	直接从 `data.dstuser` 字段映射。
`data.file`	`event.idm.read_only_udm.target.file.full_path`	直接从 `data.file` 字段映射。
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	直接从 `data.package` 字段映射。
`data.srcip`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `data.srcip` 字段映射。
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	直接从 `data.srcuser` 字段映射。
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	直接从特定规则 ID 的 `data.subject.account_domain` 字段映射而来。
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	直接从特定规则 ID 的 `data.subject.account_name` 字段映射而来。
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	直接从特定规则 ID 的 `data.subject.security_id` 字段映射而来。
`data.title`	`event.idm.read_only_udm.target.resource.name`	直接从 `data.title` 字段映射。
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	直接从 `data.version` 字段映射。
`decoder.name`	`event.idm.read_only_udm.about.resource.name`，`event.idm.read_only_udm.target.application`	直接从 `decoder.name` 字段映射。在某些情况下，也用于目标应用。
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	直接从 `decoder.parent` 字段映射。
`Description`	`event.idm.read_only_udm.metadata.description`	直接从 `Description` 字段映射。
`Destination`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.target.port`	会被解析以提取目标 IP 和端口。
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `DestinationIPAddress` 字段映射。
`DestinationPort`	`event.idm.read_only_udm.target.port`	直接从 `DestinationPort` 字段映射并转换为整数。
`device_ip_address`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `device_ip_address` 字段映射。
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	直接从 `feature` 字段映射，有时会与 `message_type` 结合使用。
`file_path`	`event.idm.read_only_udm.target.file.full_path`	直接从 `file_path` 字段映射。
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `Framed-IP-Address` 字段映射。
`full_log`	`event.idm.read_only_udm.principal.port`、`event.idm.read_only_udm.security_result.description`、`event.idm.read_only_udm.about.labels[].value`	会被解析以提取端口号、安全结果说明和正文登录 ID。
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`，`event.idm.read_only_udm.target.process.file.md5`	会被解析以提取 SHA256 和 MD5 哈希。
`hostname`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 `hostname` 字段映射。
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	直接从 `Image` 字段映射。
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `IntegrityLevel` 字段映射。密钥设置为“完整性级别”。
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`、`event.idm.read_only_udm.target.process.pid`、`event.idm.read_only_udm.target.process.parent_process.file.full_path`、`event.idm.read_only_udm.target.process.parent_process.command_line`、`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`、`event.idm.read_only_udm.target.process.product_specific_process_id`、`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.additional.fields[].value.string_value`	会被解析以提取与进程创建、文件哈希和说明相关的各种字段。
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	已解析以提取警报级别。
`location`	`event.idm.read_only_udm.target.file.full_path`	直接从 `location` 字段映射。
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	移除大括号后，直接从 `LogonGuid` 字段映射。该键设置为“Logon Guid”。
`LogonId`	`event.idm.read_only_udm.about.labels[].value`，`event.idm.read_only_udm.additional.fields[].value.string_value`	用于登出事件中的正文登录 ID，并直接映射到其他事件。该键设置为“登录 ID”。
`log_description`	`event.idm.read_only_udm.metadata.description`	直接从 `log_description` 字段映射。
`log_message`	`event.idm.read_only_udm.target.file.full_path`，`event.idm.read_only_udm.metadata.description`	已解析以提取路径和日志说明。
`manager.name`	`event.idm.read_only_udm.about.user.userid`，`event.idm.read_only_udm.principal.user.userid`	直接从 `manager.name` 字段映射。在某些情况下，也用于主要用户 ID。
`md5`	`event.idm.read_only_udm.target.process.file.md5`	直接从 `md5` 字段映射。
`message`	`event.idm.read_only_udm.metadata.product_event_type`、`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.process.command_line`、`event.idm.read_only_udm.network.http.method`、`event.idm.read_only_udm.network.http.response_code`、`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.mac`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.target.port`、`event.idm.read_only_udm.principal.nat_ip`、`event.idm.read_only_udm.principal.nat_port`、`event.idm.read_only_udm.security_result.severity`、`event.idm.read_only_udm.network.session_id`、`event.idm.read_only_udm.security_result.detection_fields[].value`、`event.idm.read_only_udm.additional.fields[].value.number_value`、`event.idm.read_only_udm.target.url`、`event.idm.read_only_udm.target.application`、`event.idm.read_only_udm.principal.resource.attribute.labels[].value`、`event.idm.read_only_udm.security_result.rule_type`、`event.idm.read_only_udm.security_result.description`、`event.idm.read_only_udm.network.http.user_agent`、`event.idm.read_only_udm.principal.process.pid`、`event.idm.read_only_udm.principal.resource.attribute.labels[].value`、`event.idm.read_only_udm.security_result.severity_details`	使用 grok 进行解析，以根据日志格式提取各种字段。
`message_data`	`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.principal.port`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.target.port`、`event.idm.read_only_udm.network.sent_bytes`、`event.idm.read_only_udm.network.received_bytes`、`event.idm.read_only_udm.network.ip_protocol`、`event.idm.read_only_udm.metadata.event_type`	会被解析以提取消息数据、IP 地址、端口、发送/接收的字节数和事件类型。
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`，`event.idm.read_only_udm.metadata.description`	直接从 `message_type` 字段映射，有时会与 `feature` 结合使用。在某些情况下，也用于说明。
`method`	`event.idm.read_only_udm.network.http.method`	直接从 `method` 字段映射。
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	直接从 `NAS-IP-Address` 字段映射。
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	直接从 `NAS-Port` 字段映射并转换为整数。
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接从 `NAS-Port-Type` 字段映射。该键设置为“nas_port_type”。
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	移除反斜线后，直接从 `NetworkDeviceName` 字段映射。
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	直接从 `ParentCommandLine` 字段映射。
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	直接从 `ParentImage` 字段映射。
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	移除大括号并在前面添加“ID:”后，直接从 `ParentProcessGuid` 字段映射。
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	直接从 `ParentProcessId` 字段映射。
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 `predecoder.hostname` 字段映射。
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	从 `ProcessGuid` 字段直接映射，方法是移除大括号并在前面添加“ID:”。
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	直接从 `ProcessId` 字段映射。
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	直接从 `product_event_type` 字段映射。
`response_code`	`event.idm.read_only_udm.network.http.response_code`	直接从 `response_code` 字段映射并转换为整数。
`rule.description`	`event.idm.read_only_udm.metadata.event_type`，`event.idm.read_only_udm.security_result.summary`	用于确定事件类型，并直接映射到安全结果摘要。
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`，`event.idm.read_only_udm.security_result.rule_id`	直接从 `rule.id` 字段映射。
`rule.info`	`event.idm.read_only_udm.target.url`	直接从 `rule.info` 字段映射。
`rule.level`	`event.idm.is_alert`、`event.idm.is_significant`、`event.idm.read_only_udm.security_result.severity_details`	用于确定事件是提醒还是重要事件，以及设置严重程度详细信息。
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	用于确定事件类型。
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	直接从 `r_msg_id` 字段映射。
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	直接从 `security_result.severity` 字段映射。
`ServerIP`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `ServerIP` 字段映射。
`ServerPort`	`event.idm.read_only_udm.target.port`	直接从 `ServerPort` 字段映射并转换为整数。
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	直接从 `sha256` 字段映射。
`Source`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.principal.port`	已解析以提取主 IP 和端口。
`src_ip`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `src_ip` 字段映射。
`sr_description`	`event.idm.read_only_udm.metadata.event_type`，`event.idm.read_only_udm.security_result.description`	用于确定事件类型，并直接映射到安全结果说明。
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	直接从 `syscheck.md5_after` 字段映射。
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	直接从 `syscheck.md5_before` 字段映射。
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	直接从 `syscheck.path` 字段映射。
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	直接从 `syscheck.sha1_after` 字段映射。
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	直接从 `syscheck.sha1_before` 字段映射。
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	直接从 `syscheck.sha256_after` 字段映射。
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	直接从 `syscheck.sha256_before` 字段映射。
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	直接从 `syscheck.size_after` 字段映射并转换为无符号整数。
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	直接从 `syscheck.size_before` 字段映射并转换为无符号整数。
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	直接从 `syscheck.uname_after` 字段映射。
`target_url`	`event.idm.read_only_udm.target.url`	直接从 `target_url` 字段映射。
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	直接从 `timestamp` 字段映射。
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	直接从 `Total_bytes_recv` 字段映射并转换为无符号整数。
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	直接从 `Total_bytes_send` 字段映射并转换为无符号整数。
`User-Name`	`event.idm.read_only_udm.principal.user.userid`，`event.idm.read_only_udm.principal.mac`	如果不是 MAC 地址，则直接从 `User-Name` 字段映射。否则，解析为 MAC 地址。
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接从 `user_agent` 字段映射。
`user_id`	`event.idm.read_only_udm.principal.user.userid`	直接从 `user_id` 字段映射。
`UserName`	`event.idm.read_only_udm.principal.user.userid`，`event.idm.read_only_udm.principal.mac`	如果不是 MAC 地址，则直接从 `UserName` 字段映射。否则，解析为 MAC 地址。
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `VserverServiceIP` 字段映射。
`VserverServicePort`	`event.idm.read_only_udm.target.port`	直接从 `VserverServicePort` 字段映射并转换为整数。
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `win.system.channel` 字段映射。键设置为“channel”。
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接从 `win.system.computer` 字段映射。该键设置为“computer”。
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	直接从 `win.system.eventID` 字段映射。
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	直接从 `win.system.message_description` 字段映射。
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	直接从 `win.system.processID` 字段映射。
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接从 `win.system.providerGuid` 字段映射。该键设置为“providerGuid”。
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接从 `win.system.providerName` 字段映射。键设置为“providerName”。
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`，`event.idm.read_only_udm.security_result.severity_details`	如果 `win.system.severityValue` 字段的值有效，则直接从该字段映射。
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `win.system.systemTime` 字段映射。该键设置为“systemTime”。
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `win.system.threadID` 字段映射。键设置为“threadID”。
不适用	`event.idm.read_only_udm.metadata.event_type`	默认值设为“GENERIC_EVENT”，可由针对不同事件类型的特定逻辑替换。
不适用	`event.idm.read_only_udm.extensions.auth.mechanism`	对于登录事件，请将其设置为“REMOTE”。
不适用	`event.idm.read_only_udm.extensions.auth.type`	对于登录/退出登录事件，设置为“PASSWORD”；对于某些事件，会替换为“MACHINE”。
不适用	`event.idm.read_only_udm.network.ip_protocol`	将其设置为“TCP”，以便进行 TCP 网络连接。
不适用	`event.idm.read_only_udm.security_result.action`	对于登录和成功事件，请将其设置为“允许”；对于失败事件，请将其设置为“屏蔽”。
不适用	`event.idm.is_alert`	如果 `rule.level` 小于或等于 12，则设置为 `true`。
不适用	`event.idm.is_significant`	如果 `rule.level` 大于 12，则设置为 `true`；否则，设置为 `false`。
不适用	`event.idm.read_only_udm.metadata.log_type`	设置为“WAZUH”。
不适用	`event.idm.read_only_udm.metadata.product_name`	设置为“Wazuh”。

变化

2024-03-04

添加了对 SVROSSEC syslog 日志的支持。
将“file_path”映射到“target.file.full_path”。
将“registry_key”映射到“target.registry.registry_key”。
将“user_name”映射到“principal.user.userid”。
将“log_description”映射到“metadata.description”。
将“action_data”映射到“security_result.action_details”。
将“src_host”映射到“principal.hostname”。
将“rule_id”映射到“security_result.rule_id”。
将“classification”映射到“security_result.detection_fields”。
将“rule_summary”映射到“security_result.summary”。
“principal.hostname”和“principal.asset.hostname”的一致映射。
对“principal.ip”和“principal.asset.ip”进行了一致的映射。
对“target.ip”和“target.asset.ip”进行了一致的映射。

2023-07-17

添加了 Grok 模式，用于解析未解析的 syslog 日志。
添加了对“predecoder.hostname”的 null 检查。

2022-10-14

提高了解析百分比。
添加了对解析 syslog 模式的支持。