本頁面由 Cloud Translation API 翻譯而成。

收集 Wazuh 記錄

支援的國家/地區：

Google SecOps SIEM

總覽

這個 Wazuh 剖析器會擷取 SYSLOG 和 JSON 格式的記錄，將欄位正規化為通用格式，並以 Wazuh 專屬中繼資料擴充欄位。然後根據 event_type 和 rule_id 欄位使用一系列條件陳述式，將原始記錄資料對應至適當的 UDM 事件類型和欄位，處理 Wazuh 生態系統中的各種記錄格式和極端情況。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體。
運作中的 Wazuh 執行個體。
Wazuh 設定檔的特殊存取權。

設定動態饋給

在 Google SecOps 平台中，有兩種不同的進入點可設定動態饋給：

「SIEM 設定」>「動態消息」
內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」，設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱，例如「Wazuh Logs」。
選取「Webhook」做為「來源類型」。
選取「Wazuh」做為「記錄類型」。
點選「下一步」。
選用：指定下列輸入參數的值：
- 分割分隔符號：用於分隔記錄行的分隔符號，例如 \n。
點選「下一步」。
在「Finalize」畫面中檢查動態饋給設定，然後按一下「Submit」。
按一下「產生密鑰」，產生驗證這個動態消息的密鑰。
複製並儲存密鑰。您無法再次查看這個密鑰。如有需要，您可以重新產生新的密鑰，但這項操作會使先前的密鑰失效。
在「詳細資料」分頁中，從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。
按一下 [完成]。

從內容中心設定動態饋給

為下列欄位指定值：

分割分隔符號：用於分隔記錄行的分隔符號，例如 \n。

進階選項
動態饋給名稱：系統預先填入的值，用於識別動態饋給。
來源類型：將記錄收集到 Google SecOps 的方法。
資產命名空間：與動態饋給相關聯的命名空間。
擷取標籤：套用至這個動態饋給所有事件的標籤。
按一下「產生密鑰」，產生驗證這個動態消息的密鑰。
複製並儲存密鑰。您無法再次查看這個密鑰。如有需要，您可以重新產生新的密鑰，但這項操作會使先前的密鑰失效。
在「詳細資料」分頁中，從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。

為 Webhook 資訊提供建立 API 金鑰

前往 **Google Cloud 主控台 >「憑證」。

前往「憑證」
按一下 [Create credentials] (建立憑證)，然後選取 [API key] (API 金鑰)。
將 API 金鑰存取權限制在 Google Security Operations API。

指定端點網址

在用戶端應用程式中，指定 webhook 動態饋給中提供的 HTTPS 端點網址。
如要啟用驗證，請在自訂標頭中指定 API 金鑰和私密金鑰，格式如下：
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
建議：請將 API 金鑰指定為標頭，而非在網址中指定。如果 Webhook 用戶端不支援自訂標頭，您可以使用查詢參數指定 API 金鑰和密鑰，格式如下：
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```

更改下列內容：

ENDPOINT_URL：動態消息端點網址。
API_KEY：用於向 Google Security Operations 進行驗證的 API 金鑰。
SECRET：您產生的密鑰，用於驗證動態饋給。

設定 Wazuh Cloud Webhook

請完成下列步驟，設定 Wazuh Cloud Webhook：

登入 Wazuh Cloud。
前往「伺服器管理」下方的左窗格選單中的「設定」。
按一下「編輯設定」。
在設定的 <integration> 區段中加入下列整合區塊。
- 如果沒有這個區段，請複製整個含有 <integration> 的區塊來建立區段。
- 將預留位置值替換為實際的 Google SecOps 詳細資料：

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

CHRONICLE_REGION：您的 Google SecOps 區域 (例如 us、europe-west1)。
GOOGLE_PROJECT_NUMBER：您的 Google Cloud 專案編號。
LOCATION：您的 Google SecOps 區域 (例如 us、europe-west1)。
CUSTOMER_ID：您的 Google SecOps 客戶 ID。
FEED_ID：Google SecOps 動態消息的 ID。
API_KEY：代管 Google SecOps 的 Google Cloud API 金鑰。
SECRET：Google SecOps 資訊動態消息的 Secret。
alert_format：設為 json，確保與 Google SecOps 相容。
level：指定要轉送的最低警報等級。0 會傳送所有快訊。

按一下「儲存」按鈕。
按一下「Restart wazuh-manager」。

設定 Wazuh On-Premise Webhook

請按照下列步驟設定 Wazuh On-Premise Webhook：

存取內部部署的 Wazuh 管理員。
前往 /var/ossec/etc/ 目錄。
使用文字編輯器 (例如 nano、vim) 開啟 ossec.conf 檔案。
在設定的 <integration> 區段中加入下列整合區塊。
- 如果沒有這個區段，請複製整個含有 <integration> 的區塊來建立區段。
- 將預留位置值替換為實際的 Google SecOps 詳細資料：
```
<integration>
   <name>google-chronicle</name>
   <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
   <alert_format>json</alert_format>
   <level>0</level>  
</integration>
```
- CHRONICLE_REGION：您的 Google SecOps 區域 (例如 us、europe-west1)。
- GOOGLE_PROJECT_NUMBER：您的 Google Cloud 專案編號。
- LOCATION：您的 Google SecOps 區域 (例如 us、europe-west1)。
- CUSTOMER_ID：您的 Google SecOps 客戶 ID。
- FEED_ID：Google SecOps 動態消息的 ID。
- API_KEY：代管 Google SecOps 的 Google Cloud API 金鑰。
- SECRET：Google SecOps 資訊動態消息的 Secret。
- alert_format：設為 json，確保與 Google SecOps 相容。
- level：指定要轉送的最低警報等級。0 會傳送所有快訊。
重新啟動 Wazuh 管理員，即可套用變更：
```
sudo systemctl restart wazuh-manager
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
`Acct-Authentic`	`event.idm.read_only_udm.security_result.authentication_mechanism`	直接從「`Acct-Authentic`」欄位對應。
`Acct-Status-Type`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接從「`Acct-Status-Type`」欄位對應。索引鍵設為「Acct-Status-Type」。
`agent.id`	`event.idm.read_only_udm.intermediary.resource.id`	直接從「`agent.id`」欄位對應。
`agent.ip`	`event.idm.read_only_udm.intermediary.ip`、`event.idm.read_only_udm.intermediary.asset.ip`、`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	直接從「`agent.ip`」欄位對應。在某些情況下，也會根據事件類型用於主體/目標 IP。
`agent.name`	`event.idm.read_only_udm.security_result.about.hostname`	直接從「`agent.name`」欄位對應。
`application`	`event.idm.read_only_udm.target.application`	直接從 Wazuh `application` 欄位對應。
`audit-session-id`	`event.idm.read_only_udm.network.session_id`	直接從「`audit-session-id`」欄位對應。
`ClientIP`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	直接從「`ClientIP`」欄位對應。
`ClientPort`	`event.idm.read_only_udm.principal.port`	直接從 `ClientPort` 欄位對應，並轉換為整數。
`cmd`	`event.idm.read_only_udm.target.process.command_line`	直接從「`cmd`」欄位對應。
`CommandLine`	`event.idm.read_only_udm.target.process.command_line`	直接從「`CommandLine`」欄位對應。
`ConfigVersionId`	`event.idm.read_only_udm.additional.fields[].value.number_value`	直接從「`ConfigVersionId`」欄位對應。金鑰設為「設定版本 ID」。
`data.Account Number`	`event.idm.read_only_udm.principal.user.userid`	直接從特定規則 ID 的 `data.Account Number` 欄位對應。
`data.Control`	`event.idm.read_only_udm.security_result.action_details`	直接從特定規則 ID 的 `data.Control` 欄位對應。
`data.Message`	`event.idm.read_only_udm.security_result.description`	直接從特定規則 ID 的 `data.Message` 欄位對應。
`data.Profile`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從特定規則 ID 的 `data.Profile` 欄位對應。
`data.Region`	`event.idm.read_only_udm.principal.location.name`	直接從特定規則 ID 的 `data.Region` 欄位對應。
`data.Status`	`event.idm.read_only_udm.security_result.action`	對應「`data.Status`」欄位。如果值為「Pass」或「AUDIT_SUCCESS」，動作會設為「ALLOW」。如果值為「ERROR」、「AUDIT_FAILURE」或「FAIL」，則動作會設為「BLOCK」。
`data.aws.awsRegion`	`event.idm.read_only_udm.principal.location.name`	直接從特定規則 ID 的 `data.aws.awsRegion` 欄位對應。
`data.aws.eventID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接從「`data.aws.eventID`」欄位對應。金鑰設為「事件 ID」。
`data.aws.eventName`	`event.idm.read_only_udm.metadata.description`	直接從特定規則 ID 的 `data.aws.eventName` 欄位對應。
`data.aws.eventSource`	`event.idm.read_only_udm.metadata.url_back_to_product`	直接從特定規則 ID 的 `data.aws.eventSource` 欄位對應。
`data.aws.eventType`	`event.idm.read_only_udm.metadata.product_event_type`	直接從特定規則 ID 的 `data.aws.eventType` 欄位對應。
`data.aws.requestID`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接從「`data.aws.requestID`」欄位對應。索引鍵設為「要求 ID」。
`data.aws.requestParameters.loadBalancerName`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接從「`data.aws.requestParameters.loadBalancerName`」欄位對應。索引鍵設為「LoadBalancer Name」。
`data.aws.sourceIPAddress`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從特定規則 ID 的 `data.aws.sourceIPAddress` 欄位對應。
`data.aws.source_ip_address`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	直接從「`data.aws.source_ip_address`」欄位對應。
`data.aws.userIdentity.accountId`	`event.idm.read_only_udm.principal.user.product_object_id`	直接從特定規則 ID 的 `data.aws.userIdentity.accountId` 欄位對應。
`data.aws.userIdentity.principalId`	`event.idm.read_only_udm.principal.user.userid`	直接從特定規則 ID 的 `data.aws.userIdentity.principalId` 欄位對應。
`data.aws.userIdentity.sessionContext.sessionIssuer.arn`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接從「`data.aws.userIdentity.sessionContext.sessionIssuer.arn`」欄位對應。金鑰設為「ARN」。
`data.aws.userIdentity.sessionContext.sessionIssuer.userName`	`event.idm.read_only_udm.principal.user.user_display_name`	直接從特定規則 ID 的 `data.aws.userIdentity.sessionContext.sessionIssuer.userName` 欄位對應。
`data.command`	`event.idm.read_only_udm.target.file.full_path`	直接從「`data.command`」欄位對應。
`data.docker.message`	`event.idm.read_only_udm.security_result.description`	直接從特定事件類型的 `data.docker.message` 欄位對應。
`data.dstuser`	`event.idm.read_only_udm.target.user.userid`	直接從「`data.dstuser`」欄位對應。
`data.file`	`event.idm.read_only_udm.target.file.full_path`	直接從「`data.file`」欄位對應。
`data.package`	`event.idm.read_only_udm.target.asset.software[].name`	直接從「`data.package`」欄位對應。
`data.srcip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	直接從「`data.srcip`」欄位對應。
`data.srcuser`	`event.idm.read_only_udm.principal.user.userid`	直接從「`data.srcuser`」欄位對應。
`data.subject.account_domain`	`event.idm.read_only_udm.target.administrative_domain`	直接從特定規則 ID 的 `data.subject.account_domain` 欄位對應。
`data.subject.account_name`	`event.idm.read_only_udm.target.user.user_display_name`	直接從特定規則 ID 的 `data.subject.account_name` 欄位對應。
`data.subject.security_id`	`event.idm.read_only_udm.target.user.windows_sid`	直接從特定規則 ID 的 `data.subject.security_id` 欄位對應。
`data.title`	`event.idm.read_only_udm.target.resource.name`	直接從「`data.title`」欄位對應。
`data.version`	`event.idm.read_only_udm.target.asset.software[].version`	直接從「`data.version`」欄位對應。
`decoder.name`	`event.idm.read_only_udm.about.resource.name`、`event.idm.read_only_udm.target.application`	直接從「`decoder.name`」欄位對應。有時也用於目標應用程式。
`decoder.parent`	`event.idm.read_only_udm.about.resource.parent`	直接從「`decoder.parent`」欄位對應。
`Description`	`event.idm.read_only_udm.metadata.description`	直接從「`Description`」欄位對應。
`Destination`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.target.port`	剖析以擷取目標 IP 和通訊埠。
`DestinationIPAddress`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	直接從「`DestinationIPAddress`」欄位對應。
`DestinationPort`	`event.idm.read_only_udm.target.port`	直接從 `DestinationPort` 欄位對應，並轉換為整數。
`device_ip_address`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	直接從「`device_ip_address`」欄位對應。
`feature`	`event.idm.read_only_udm.metadata.product_event_type`	直接從 `feature` 欄位對應，有時會與 `message_type` 結合。
`file_path`	`event.idm.read_only_udm.target.file.full_path`	直接從「`file_path`」欄位對應。
`Framed-IP-Address`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	直接從「`Framed-IP-Address`」欄位對應。
`full_log`	`event.idm.read_only_udm.principal.port`、`event.idm.read_only_udm.security_result.description`、`event.idm.read_only_udm.about.labels[].value`	已剖析，可擷取通訊埠號碼、安全性結果說明和主體登入 ID。
`Hashes`	`event.idm.read_only_udm.target.process.file.sha256`、`event.idm.read_only_udm.target.process.file.md5`	經過剖析，可擷取 SHA256 和 MD5 雜湊。
`hostname`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從「`hostname`」欄位對應。
`Image`	`event.idm.read_only_udm.target.process.file.full_path`	直接從「`Image`」欄位對應。
`IntegrityLevel`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接從「`IntegrityLevel`」欄位對應。金鑰設為「完整性等級」。
`kv_data`	`event.idm.read_only_udm.target.process.file.full_path`、`event.idm.read_only_udm.target.process.pid`、`event.idm.read_only_udm.target.process.parent_process.file.full_path`、`event.idm.read_only_udm.target.process.parent_process.command_line`、`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`、`event.idm.read_only_udm.target.process.product_specific_process_id`、`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.additional.fields[].value.string_value`	經過剖析，可擷取與程序建立、檔案雜湊和說明相關的各種欄位。
`kv_log_data`	`event.idm.read_only_udm.security_result.severity_details`	系統會剖析這段文字，擷取警示等級。
`location`	`event.idm.read_only_udm.target.file.full_path`	直接從「`location`」欄位對應。
`LogonGuid`	`event.idm.read_only_udm.additional.fields[].value.string_value`	移除大括號後，直接從 `LogonGuid` 欄位對應。金鑰設為「Logon Guid」。
`LogonId`	`event.idm.read_only_udm.about.labels[].value`、`event.idm.read_only_udm.additional.fields[].value.string_value`	用於登出事件中的主體登入 ID，並直接對應其他事件。索引鍵設為「登入 ID」。
`log_description`	`event.idm.read_only_udm.metadata.description`	直接從「`log_description`」欄位對應。
`log_message`	`event.idm.read_only_udm.target.file.full_path`、`event.idm.read_only_udm.metadata.description`	剖析以擷取路徑和記錄說明。
`manager.name`	`event.idm.read_only_udm.about.user.userid`、`event.idm.read_only_udm.principal.user.userid`	直接從「`manager.name`」欄位對應。在某些情況下，也用於主要使用者 ID。
`md5`	`event.idm.read_only_udm.target.process.file.md5`	直接從「`md5`」欄位對應。
`message`	`event.idm.read_only_udm.metadata.product_event_type`、`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.process.command_line`、`event.idm.read_only_udm.network.http.method`、`event.idm.read_only_udm.network.http.response_code`、`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.mac`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.target.port`、`event.idm.read_only_udm.principal.nat_ip`、`event.idm.read_only_udm.principal.nat_port`、`event.idm.read_only_udm.security_result.severity`、`event.idm.read_only_udm.network.session_id`、`event.idm.read_only_udm.security_result.detection_fields[].value`、`event.idm.read_only_udm.additional.fields[].value.number_value`、`event.idm.read_only_udm.target.url`、`event.idm.read_only_udm.target.application`、`event.idm.read_only_udm.principal.resource.attribute.labels[].value`、`event.idm.read_only_udm.security_result.rule_type`、`event.idm.read_only_udm.security_result.description`、`event.idm.read_only_udm.network.http.user_agent`、`event.idm.read_only_udm.principal.process.pid`、`event.idm.read_only_udm.principal.resource.attribute.labels[].value`、`event.idm.read_only_udm.security_result.severity_details`	使用 grok 剖析，根據記錄格式擷取各種欄位。
`message_data`	`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.principal.port`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.target.port`、`event.idm.read_only_udm.network.sent_bytes`、`event.idm.read_only_udm.network.received_bytes`、`event.idm.read_only_udm.network.ip_protocol`、`event.idm.read_only_udm.metadata.event_type`	經過剖析，可擷取訊息資料、IP 位址、連接埠、傳送/接收的位元組數和事件類型。
`message_type`	`event.idm.read_only_udm.metadata.product_event_type`、`event.idm.read_only_udm.metadata.description`	直接從 `message_type` 欄位對應，有時會與 `feature` 結合。有時也用於說明。
`method`	`event.idm.read_only_udm.network.http.method`	直接從「`method`」欄位對應。
`NAS-IP-Address`	`event.idm.read_only_udm.principal.nat_ip`	直接從「`NAS-IP-Address`」欄位對應。
`NAS-Port`	`event.idm.read_only_udm.principal.nat_port`	直接從 `NAS-Port` 欄位對應，並轉換為整數。
`NAS-Port-Type`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接從「`NAS-Port-Type`」欄位對應。索引鍵設為「nas_port_type」。
`NetworkDeviceName`	`event.idm.read_only_udm.intermediary.hostname`	從 `NetworkDeviceName` 欄位直接對應，並移除反斜線。
`ParentCommandLine`	`event.idm.read_only_udm.target.process.parent_process.command_line`	直接從「`ParentCommandLine`」欄位對應。
`ParentImage`	`event.idm.read_only_udm.target.process.parent_process.file.full_path`	直接從「`ParentImage`」欄位對應。
`ParentProcessGuid`	`event.idm.read_only_udm.target.process.parent_process.product_specific_process_id`	從 `ParentProcessGuid` 欄位直接對應，移除大括號並加上「ID:」。
`ParentProcessId`	`event.idm.read_only_udm.target.process.parent_process.pid`	直接從「`ParentProcessId`」欄位對應。
`predecoder.hostname`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	直接從「`predecoder.hostname`」欄位對應。
`ProcessGuid`	`event.idm.read_only_udm.target.process.product_specific_process_id`	從 `ProcessGuid` 欄位直接對應，移除大括號並加上「ID:」。
`ProcessId`	`event.idm.read_only_udm.target.process.pid`	直接從「`ProcessId`」欄位對應。
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	直接從「`product_event_type`」欄位對應。
`response_code`	`event.idm.read_only_udm.network.http.response_code`	直接從 `response_code` 欄位對應，並轉換為整數。
`rule.description`	`event.idm.read_only_udm.metadata.event_type`、`event.idm.read_only_udm.security_result.summary`	用於判斷事件類型，並直接對應至安全性結果摘要。
`rule.id`	`event.idm.read_only_udm.metadata.product_log_id`、`event.idm.read_only_udm.security_result.rule_id`	直接從「`rule.id`」欄位對應。
`rule.info`	`event.idm.read_only_udm.target.url`	直接從「`rule.info`」欄位對應。
`rule.level`	`event.idm.read_only_udm.security_result.severity_details`	用於設定嚴重程度詳細資料。
`r_cat_name`	`event.idm.read_only_udm.metadata.event_type`	用於判斷事件類型。
`r_msg_id`	`event.idm.read_only_udm.metadata.product_log_id`	直接從「`r_msg_id`」欄位對應。
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	直接從「`security_result.severity`」欄位對應。
`ServerIP`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	直接從「`ServerIP`」欄位對應。
`ServerPort`	`event.idm.read_only_udm.target.port`	直接從 `ServerPort` 欄位對應，並轉換為整數。
`sha256`	`event.idm.read_only_udm.target.process.file.sha256`	直接從「`sha256`」欄位對應。
`Source`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.principal.port`	剖析以擷取主體 IP 和通訊埠。
`src_ip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	直接從「`src_ip`」欄位對應。
`sr_description`	`event.idm.read_only_udm.metadata.event_type`、`event.idm.read_only_udm.security_result.description`	用於判斷事件類型，並直接對應至安全性結果說明。
`syscheck.md5_after`	`event.idm.read_only_udm.target.process.file.md5`	直接從「`syscheck.md5_after`」欄位對應。
`syscheck.md5_before`	`event.idm.read_only_udm.src.process.file.md5`	直接從「`syscheck.md5_before`」欄位對應。
`syscheck.path`	`event.idm.read_only_udm.target.file.full_path`	直接從「`syscheck.path`」欄位對應。
`syscheck.sha1_after`	`event.idm.read_only_udm.target.process.file.sha1`	直接從「`syscheck.sha1_after`」欄位對應。
`syscheck.sha1_before`	`event.idm.read_only_udm.src.process.file.sha1`	直接從「`syscheck.sha1_before`」欄位對應。
`syscheck.sha256_after`	`event.idm.read_only_udm.target.process.file.sha256`	直接從「`syscheck.sha256_after`」欄位對應。
`syscheck.sha256_before`	`event.idm.read_only_udm.src.process.file.sha256`	直接從「`syscheck.sha256_before`」欄位對應。
`syscheck.size_after`	`event.idm.read_only_udm.target.process.file.size`	直接從 `syscheck.size_after` 欄位對應，並轉換為不帶正負號的整數。
`syscheck.size_before`	`event.idm.read_only_udm.src.process.file.size`	直接從 `syscheck.size_before` 欄位對應，並轉換為不帶正負號的整數。
`syscheck.uname_after`	`event.idm.read_only_udm.principal.user.user_display_name`	直接從「`syscheck.uname_after`」欄位對應。
`target_url`	`event.idm.read_only_udm.target.url`	直接從「`target_url`」欄位對應。
`timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	直接從「`timestamp`」欄位對應。
`Total_bytes_recv`	`event.idm.read_only_udm.network.received_bytes`	直接從 `Total_bytes_recv` 欄位對應，並轉換為不帶正負號的整數。
`Total_bytes_send`	`event.idm.read_only_udm.network.sent_bytes`	直接從 `Total_bytes_send` 欄位對應，並轉換為不帶正負號的整數。
`User-Name`	`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.mac`	如果不是 MAC 位址，則直接從 `User-Name` 欄位對應。否則會剖析為 MAC 位址。
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接從「`user_agent`」欄位對應。
`user_id`	`event.idm.read_only_udm.principal.user.userid`	直接從「`user_id`」欄位對應。
`UserName`	`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.mac`	如果不是 MAC 位址，則直接從 `UserName` 欄位對應。否則會剖析為 MAC 位址。
`VserverServiceIP`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	直接從「`VserverServiceIP`」欄位對應。
`VserverServicePort`	`event.idm.read_only_udm.target.port`	直接從 `VserverServicePort` 欄位對應，並轉換為整數。
`win.system.channel`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接從「`win.system.channel`」欄位對應。索引鍵設為「channel」。
`win.system.computer`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接從「`win.system.computer`」欄位對應。金鑰設為「computer」。
`win.system.eventID`	`event.idm.read_only_udm.metadata.product_log_id`	直接從「`win.system.eventID`」欄位對應。
`win.system.message_description`	`event.idm.read_only_udm.metadata.description`	直接從「`win.system.message_description`」欄位對應。
`win.system.processID`	`event.idm.read_only_udm.principal.process.pid`	直接從「`win.system.processID`」欄位對應。
`win.system.providerGuid`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接從「`win.system.providerGuid`」欄位對應。索引鍵設為「providerGuid」。
`win.system.providerName`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接從「`win.system.providerName`」欄位對應。索引鍵設為「providerName」。
`win.system.severityValue`	`event.idm.read_only_udm.security_result.severity`、`event.idm.read_only_udm.security_result.severity_details`	如果嚴重程度值有效，則直接從 `win.system.severityValue` 欄位對應。
`win.system.systemTime`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接從「`win.system.systemTime`」欄位對應。索引鍵設為「systemTime」。
`win.system.threadID`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接從「`win.system.threadID`」欄位對應。索引鍵設為「threadID」。
不適用	`event.idm.read_only_udm.metadata.event_type`	預設值為「GENERIC_EVENT」，但不同事件類型會以特定邏輯覆寫這個值。
不適用	`event.idm.read_only_udm.extensions.auth.mechanism`	登入事件請設為「REMOTE」。
不適用	`event.idm.read_only_udm.extensions.auth.type`	登入/登出事件設為「PASSWORD」，部分事件會覆寫為「MACHINE」。
不適用	`event.idm.read_only_udm.network.ip_protocol`	如為 TCP 網路連線，請設為「TCP」。
不適用	`event.idm.read_only_udm.security_result.action`	登入和成功事件設為「ALLOW」，失敗事件則設為「BLOCK」。
不適用	`event.idm.read_only_udm.metadata.log_type`	設為「WAZUH」。
不適用	`event.idm.read_only_udm.metadata.product_name`	設為「Wazuh」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。