收集 AWS CloudWatch 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何将 AWS CloudWatch 日志提取到 Google Security Operations。AWS CloudWatch 是一项监控和可观测性服务,可收集日志、指标和事件形式的运维数据。通过此集成,您可以将这些日志发送到 Google SecOps 进行分析和监控。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 AWS 的特权访问权限。
创建 Amazon S3 存储分区
建议您使用专门为 CloudWatch 日志创建的存储分区。
- 打开 Amazon S3 控制台。
- 如有需要,您可以更改地区。
- 在导航栏中,选择CloudWatch 日志所在的区域。
- 点击创建存储分区。
- 存储分区名称:为存储分区输入一个有意义的名称。
- 区域:选择 CloudWatch Logs 数据所在的区域。
- 点击创建。
创建一个对 Amazon S3 和 CloudWatch Logs 拥有完整访问权限的 IAM 用户
- 打开 IAM 控制台。
- 依次点击用户 > 添加用户。
- 输入用户名(例如 CWExport)。
- 选择以程序化方式访问和 AWS 管理控制台访问权限。
- 选择自动生成的密码或自定义密码。
- 点击 Next: Permissions。
- 选择 Attach existing policies directly。
- 搜索并选择要向用户授予的 AmazonS3FullAccess 和 CloudWatchLogsFullAccess 政策。
- 点击 Next: Tags。
- 点击下一步:检查。
- 点击创建用户。
配置 Amazon S3 存储分区的权限
- 在 Amazon S3 控制台中,选择您之前创建的存储分区。
- 依次点击权限 > 存储分区政策。
在存储分区政策编辑器中,添加以下政策。
{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::cw-exported-logs", "Principal": { "Service": "logs.us-east-1.amazonaws.com" } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/random-string/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } }, "Principal": { "Service": "logs.us-east-1.amazonaws.com" } } ] }更改并更新以下
json变量:- 将
cw-exported-logs更改为您的 S3 存储分区的名称。 - 将
random-string更改为随机生成的字符串。 - 请务必为主账号指定正确的区域端点。
- 将
点击保存,将您刚刚添加的政策设置为存储分区的访问权限政策。
配置 CloudWatch 导出
- 以您之前创建的 IAM 用户的身份登录。
- 打开 CloudWatch 控制台。
- 在导航菜单中,选择日志组。
- 选择现有日志组的名称或创建新的日志组。
- 依次选择操作 > 将数据导出到 Amazon S3。
- 在将数据导出到 Amazon S3 屏幕上,找到定义数据导出。
- 使用开始时间和结束时间设置要导出的数据的时间范围。
- 选择 S3 存储分区:选择与 Amazon S3 存储分区关联的账号。
- S3 存储分区名称:选择一个 Amazon S3 存储分区。
- S3 存储分区前缀:输入您在存储分区政策中指定的随机生成的字符串。
- 选择导出,将日志数据导出到 Amazon S3。
- 如需查看导出到 Amazon S3 的日志数据的状态,请依次选择操作 > 查看导出到 Amazon S3 的所有数据。
在 Google SecOps 中配置 Feed 以提取 AWS CloudWatch 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 AWS CloudWatch 日志)。
- 选择 Amazon S3 作为来源类型。
- 选择 AWS CloudWatch 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- 区域:Amazon S3 存储分区所在的区域。
- S3 URI:存储分区 URI。
s3://your-log-bucket-name/- 将
your-log-bucket-name替换为存储分区的实际名称。
- 将
- URI 是:选择目录或包含子目录的目录。
来源删除选项:根据您的偏好选择删除选项。
访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。
私有访问密钥:有权访问 S3 存储分区的用户私有密钥。
资源命名空间:资源命名空间。
提取标签:要应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
account |
principal.user.userid |
原始日志中的 account 值会映射到 principal.user.userid 字段。 |
account_id |
principal.user.userid |
原始日志中的 account_id 值会映射到 principal.user.userid 字段。 |
AlertId |
metadata.product_log_id |
原始日志中的 AlertId 值会映射到 metadata.product_log_id 字段。 |
arrivalTimestamp |
metadata.event_timestamp |
原始日志中的 arrivalTimestamp 值会转换为时间戳,并映射到 metadata.event_timestamp 字段。 |
attemptsMade |
additional.fields |
系统会将原始日志中的 attemptsMade 值转换为字符串,并将其作为键值对添加到 additional.fields,键为“Attempts Made”。 |
awsAccountId |
principal.asset_id |
原始日志中的 awsAccountId 值会附加“AWS 账号 ID:”并映射到 principal.asset_id 字段。 |
billed_duration |
additional.fields |
系统会将原始日志中的 billed_duration 值作为键值对添加到 additional.fields,键为“billed_duration”。 |
BytesIn |
network.received_bytes |
原始日志中的 BytesIn 值会转换为无符号整数,并映射到 network.received_bytes 字段。 |
cipher |
network.tls.cipher |
原始日志中的 cipher 值会映射到 network.tls.cipher 字段。 |
Ciphers |
network.tls.client.supported_ciphers |
原始日志中的 Ciphers 值以英文逗号分隔,每个值都会添加到 network.tls.client.supported_ciphers 数组中。 |
cloudwatchLog |
security_result.description |
原始日志中的 cloudwatchLog 值会映射到 security_result.description 字段。 |
CloudAccountId |
metadata.product_deployment_id |
原始日志中的 CloudAccountId 值会映射到 metadata.product_deployment_id 字段。 |
CloudType |
target.resource.attribute.cloud.environment |
原始日志中的 CloudType 值决定了 target.resource.attribute.cloud.environment 的值。如果 CloudType 为“gcp”,则值为“GOOGLE_CLOUD_PLATFORM”。如果 CloudType 为“aws”,则值为“AMAZON_WEB_SERVICES”。如果 CloudType 为“azure”,则值为“MICROSOFT_AZURE”。 |
Context.Execution.Id |
target.resource.attribute.labels |
系统会将原始日志中的 Context.Execution.Id 值作为键值对添加到 target.resource.attribute.labels,键为“情境 ID”。 |
Context.Execution.Name |
target.resource.attribute.labels |
系统会将原始日志中的 Context.Execution.Name 值作为键值对添加到 target.resource.attribute.labels,键为“情境名称”。 |
Context.Execution.RoleArn |
target.resource.product_object_id |
原始日志中的 Context.Execution.RoleArn 值会映射到 target.resource.product_object_id 字段。 |
descr |
metadata.description |
移除多余空格后,原始日志中的 descr 值会映射到 metadata.description 字段,除非其值为“-”。如果 descr 为空,则改用 log 的值。 |
destination.name |
target.location.country_or_region |
原始日志中的 destination.name 值会映射到 target.location.country_or_region 字段。 |
destination.properties.prefix |
target.resource.attribute.labels |
系统会将原始日志中的 destination.properties.prefix 值作为键值对添加到 target.resource.attribute.labels,键为“Destination properties prefix”。 |
detail.additionalEventData.configRuleArn |
security_result.rule_id |
原始日志中的 detail.additionalEventData.configRuleArn 值会映射到 security_result.rule_id 字段。 |
detail.additionalEventData.configRuleName |
security_result.rule_name |
原始日志中的 detail.additionalEventData.configRuleName 值会映射到 security_result.rule_name 字段。 |
detail.additionalEventData.managedRuleIdentifier |
additional.fields |
系统会将原始日志中的 detail.additionalEventData.managedRuleIdentifier 值作为键值对添加到 additional.fields,键为“managedRuleIdentifier”。 |
detail.additionalEventData.notificationJobType |
additional.fields |
系统会将原始日志中的 detail.additionalEventData.notificationJobType 值作为键值对添加到 additional.fields,键为“notificationJobType”。 |
detail.awsAccountId |
principal.asset_id |
原始日志中的 detail.awsAccountId 值会附加“AWS 账号 ID:”并映射到 principal.asset_id 字段。 |
detail.awsRegion |
principal.location.name |
原始日志中的 detail.awsRegion 值会映射到 principal.location.name 字段。 |
detail.configRuleArn |
security_result.rule_id |
原始日志中的 detail.configRuleArn 值会映射到 security_result.rule_id 字段。 |
detail.configRuleName |
security_result.rule_name |
原始日志中的 detail.configRuleName 值会映射到 security_result.rule_name 字段。 |
detail.configurationItem.awsAccountId |
principal.user.userid |
原始日志中的 detail.configurationItem.awsAccountId 值会映射到 principal.user.userid 字段。 |
detail.configurationItem.awsRegion |
target.location.country_or_region |
原始日志中的 detail.configurationItem.awsRegion 值会映射到 target.location.country_or_region 字段。 |
detail.configurationItem.configuration.complianceType |
security_result.summary |
原始日志中的 detail.configurationItem.configuration.complianceType 值会映射到 security_result.summary 字段。 |
detail.configurationItem.configuration.targetResourceId |
target.resource.attribute.labels |
系统会将原始日志中的 detail.configurationItem.configuration.targetResourceId 值作为键值对添加到 target.resource.attribute.labels,键为“configurationItem configuration targetResourceId”。 |
detail.configurationItem.configuration.targetResourceType |
target.resource.attribute.labels |
系统会将原始日志中的 detail.configurationItem.configuration.targetResourceType 值作为键值对添加到 target.resource.attribute.labels,键为“configurationItem configuration targetResourceType”。 |
detail.configurationItem.configurationItemCaptureTime |
_target.asset.attribute.creation_time |
原始日志中的 detail.configurationItem.configurationItemCaptureTime 值会转换为时间戳,并映射到 _target.asset.attribute.creation_time 字段。 |
detail.configurationItem.configurationItemStatus |
target.resource.attribute.labels |
系统会将原始日志中的 detail.configurationItem.configurationItemStatus 值作为键值对添加到 target.resource.attribute.labels,键为“configurationItem configurationItemStatus”。 |
detail.configurationItem.configurationStateId |
target.resource.attribute.labels |
系统会将原始日志中的 detail.configurationItem.configurationStateId 值转换为字符串,并将其作为键值对添加到 target.resource.attribute.labels,键为“configurationItem configurationStateId”。 |
detail.configurationItem.resourceId |
target.resource.id |
原始日志中的 detail.configurationItem.resourceId 值会映射到 target.resource.id 字段。 |
detail.configurationItem.resourceType |
target.resource.resource_subtype |
原始日志中的 detail.configurationItem.resourceType 值会映射到 target.resource.resource_subtype 字段。 |
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn |
security_result.rule_id |
原始日志中的 detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn 值会映射到 security_result.rule_id 字段。 |
detail.eventCategory |
security_result.category_details |
原始日志中的 detail.eventCategory 值会映射到 security_result.category_details 字段。 |
detail.eventID |
metadata.product_log_id |
原始日志中的 detail.eventID 值会映射到 metadata.product_log_id 字段。 |
detail.eventName |
additional.fields |
系统会将原始日志中的 detail.eventName 值作为键值对添加到 additional.fields,键为“Event Name”。 |
detail.eventSource |
target.application |
原始日志中的 detail.eventSource 值会映射到 target.application 字段。 |
detail.eventType |
additional.fields |
系统会将原始日志中的 detail.eventType 值作为键值对添加到 additional.fields,键为“事件类型”。 |
detail.eventVersion |
metadata.product_version |
原始日志中的 detail.eventVersion 值会映射到 metadata.product_version 字段。 |
detail.managementEvent |
additional.fields |
原始日志中的 detail.managementEvent 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“detail managementEvent”。 |
detail.messageType |
target.resource.attribute.labels |
系统会将原始日志中的 detail.messageType 值作为键值对添加到 target.resource.attribute.labels,键为“Message Type”。 |
detail.newEvaluationResult.complianceType |
security_result.summary |
原始日志中的 detail.newEvaluationResult.complianceType 值会映射到 security_result.summary 字段。 |
detail.newEvaluationResult.configRuleInvokedTime |
additional.fields |
系统会将原始日志中的 detail.newEvaluationResult.configRuleInvokedTime 值作为键值对添加到 additional.fields,键为“newEvaluationResult_configRuleInvokedTime”。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
系统会将原始日志中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值作为键值对添加到 additional.fields,键为“newEvaluationResult_configRuleName”。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
系统会将原始日志中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值作为键值对添加到 additional.fields,键为“newEvaluationResult_resourceId”。 |
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
系统会将原始日志中的 detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值作为键值对添加到 additional.fields,键为“newEvaluationResult_resourceType”。 |
detail.newEvaluationResult.resultRecordedTime |
additional.fields |
系统会将原始日志中的 detail.newEvaluationResult.resultRecordedTime 值作为键值对添加到 additional.fields,键为“newEvaluationResult_resultRecordedTime”。 |
detail.oldEvaluationResult.configRuleInvokedTime |
additional.fields |
系统会将原始日志中的 detail.oldEvaluationResult.configRuleInvokedTime 值作为键值对添加到 additional.fields,键为“oldEvaluationResult_configRuleInvokedTime”。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName |
additional.fields |
系统会将原始日志中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName 值作为键值对添加到 additional.fields,键为“oldEvaluationResult_configRuleName”。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId |
additional.fields |
系统会将原始日志中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId 值作为键值对添加到 additional.fields,键为“oldEvaluationResult_resourceId”。 |
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType |
additional.fields |
系统会将原始日志中的 detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType 值作为键值对添加到 additional.fields,键为“oldEvaluationResult_resourceType”。 |
detail.oldEvaluationResult.resultRecordedTime |
additional.fields |
系统会将原始日志中的 detail.oldEvaluationResult.resultRecordedTime 值作为键值对添加到 additional.fields,键为“oldEvaluationResult_resultRecordedTime”。 |
detail.readOnly |
additional.fields |
原始日志中的 detail.readOnly 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“detail readOnly”。 |
detail.recipientAccountId |
target.resource.attribute.labels |
系统会将原始日志中的 detail.recipientAccountId 值作为键值对添加到 target.resource.attribute.labels,键为“Recipient Account Id”(收件人账号 ID)。 |
detail.recordVersion |
metadata.product_version |
原始日志中的 detail.recordVersion 值会映射到 metadata.product_version 字段。 |
detail.requestID |
target.resource.attribute.labels |
系统会将原始日志中的 detail.requestID 值作为键值对添加到 target.resource.attribute.labels,键为“Detail Request ID”。 |
detail.resourceType |
target.resource.resource_subtype |
原始日志中的 detail.resourceType 值会映射到 target.resource.resource_subtype 字段。 |
detail.s3Bucket |
about.resource.name |
原始日志中的 detail.s3Bucket 值会映射到 about.resource.name 字段。 |
detail.s3ObjectKey |
target.resource.attribute.labels |
系统会将原始日志中的 detail.s3ObjectKey 值作为键值对添加到 target.resource.attribute.labels,键为“s3ObjectKey”。 |
detail.userAgent |
network.http.user_agent |
原始日志中的 detail.userAgent 值会映射到 network.http.user_agent 字段。 |
detail.userIdentity.accessKeyId |
target.user.userid |
原始日志中的 detail.userIdentity.accessKeyId 值会映射到 target.user.userid 字段。 |
detail.userIdentity.accountId |
metadata.product_deployment_id |
原始日志中的 detail.userIdentity.accountId 值会映射到 metadata.product_deployment_id 字段。 |
detail.userIdentity.arn |
target.user.userid |
原始日志中的 detail.userIdentity.arn 值会映射到 target.user.userid 字段。 |
detail.userIdentity.principalId |
principal.user.product_object_id |
原始日志中的 detail.userIdentity.principalId 值会映射到 principal.user.product_object_id 字段。 |
detail.userIdentity.sessionContext.attributes.mfaAuthenticated |
principal.user.attribute.labels |
系统会将原始日志中的 detail.userIdentity.sessionContext.attributes.mfaAuthenticated 值作为键值对添加到 principal.user.attribute.labels,键为“mfaAuthenticated”。 |
detail.userIdentity.sessionContext.sessionIssuer.userName |
target.user.user_display_name |
原始日志中的 detail.userIdentity.sessionContext.sessionIssuer.userName 值会映射到 target.user.user_display_name 字段。 |
detail.userIdentity.type |
principal.resource.type |
原始日志中的 detail.userIdentity.type 值会映射到 principal.resource.type 字段。 |
detail-type |
metadata.product_event_type |
原始日志中的 detail-type 值会映射到 metadata.product_event_type 字段。 |
device |
principal.asset.product_object_id |
原始日志中的 device 值会映射到 principal.asset.product_object_id 字段。 |
digestPublicKeyFingerprint |
target.file.sha1 |
原始日志中的 digestPublicKeyFingerprint 值会映射到 target.file.sha1 字段。 |
digestS3Bucket |
principal.resource.name |
原始日志中的 digestS3Bucket 值会映射到 principal.resource.name 字段。 |
digestS3Object |
principal.asset.asset_id |
原始日志中的 digestS3Object 值会附加“S3 对象:”并映射到 principal.asset.asset_id 字段。 |
digestSignatureAlgorithm |
network.tls.cipher |
原始日志中的 digestSignatureAlgorithm 值会映射到 network.tls.cipher 字段。 |
digestStartTime |
metadata.event_timestamp |
原始日志中的 digestStartTime 值会转换为时间戳,并映射到 metadata.event_timestamp 字段。 |
dimensions.VolumeId |
additional.fields |
系统会将原始日志中的 dimensions.VolumeId 值作为键值对添加到 additional.fields,键为“VolumeId”。 |
duration |
additional.fields |
系统会将原始日志中的 duration 值作为键值对添加到 additional.fields,键为“duration”。 |
errorCode |
security_result.rule_name |
原始日志中的 errorCode 值会映射到 security_result.rule_name 字段。 |
errorMessage |
security_result.summary |
原始日志中的 errorMessage 值会映射到 security_result.summary 字段。 |
executionId |
principal.process.pid |
原始日志中的 executionId 值会映射到 principal.process.pid 字段。 |
host |
principal.hostname,principal.ip |
原始日志中的 host 值(将连字符替换为点)会被解析为 IP 地址,并在成功解析后映射到 principal.ip 字段。否则,它会映射到 principal.hostname 字段。 |
http_verb |
network.http.method |
原始日志中的 http_verb 值会转换为大写形式,并映射到 network.http.method 字段。 |
kubernetes.container_hash |
additional.fields |
系统会将原始日志中的 kubernetes.container_hash 值作为键值对添加到 additional.fields,键为“container_hash”。 |
kubernetes.container_image |
additional.fields |
系统会将原始日志中的 kubernetes.container_image 值作为键值对添加到 additional.fields,键为“container_image”。 |
kubernetes.container_name |
additional.fields |
系统会将原始日志中的 kubernetes.container_name 值作为键值对添加到 additional.fields,键为“container_name”。 |
kubernetes.docker_id |
principal.asset_id |
原始日志中的 kubernetes.docker_id 值会附加“id: ”并映射到 principal.asset_id 字段。 |
kubernetes.host |
principal.hostname,principal.ip |
原始日志中的 kubernetes.host 值(将连字符替换为点)会被解析为 IP 地址,并在成功解析后映射到 principal.ip 字段。否则,它会映射到 principal.hostname 字段。 |
kubernetes.namespace |
principal.namespace |
原始日志中的 kubernetes.namespace 值会映射到 principal.namespace 字段。 |
kubernetes.namespace_name |
principal.namespace |
原始日志中的 kubernetes.namespace_name 值会映射到 principal.namespace 字段。 |
kubernetes.pod_id |
principal.asset.asset_id |
原始日志中的 kubernetes.pod_id 值会附加“pod_id: ”并映射到 principal.asset.asset_id 字段。 |
kubernetes.pod_name |
additional.fields |
系统会将原始日志中的 kubernetes.pod_name 值作为键值对添加到 additional.fields,键为“pod 名称”。 |
lambdaArn |
principal.hostname |
原始日志中的 lambdaArn 值会映射到 principal.hostname 字段。 |
level |
security_result.severity |
原始日志中的 level 值决定了 security_result.severity 的值。如果 level 为“Info”,则值为“INFORMATIONAL”。如果 level 为“Error”,则值为“ERROR”。如果 level 为“Warning”,则值为“MEDIUM”。 |
log |
metadata.description |
如果 descr 为空,则原始日志中的 log 值会映射到 metadata.description 字段。 |
logFiles |
about |
对于原始日志中的 logFiles 数组中的每个元素,系统都会创建一个 about 对象,并将 file.full_path 设置为 s3Object、asset.hostname 设置为 s3Bucket 和 file.sha256 设置为 hashValue。 |
log_processed.cause |
security_result.summary |
原始日志中的 log_processed.cause 值会映射到 security_result.summary 字段。 |
log_processed.ids |
intermediary.hostname |
对于原始日志中的 log_processed.ids 数组中的每个元素,系统都会创建一个 intermediary 对象,并将 hostname 设置为该元素的值。 |
log_processed.level |
security_result.severity |
原始日志中的 log_processed.level 值会映射到 security_result.severity 字段。 |
log_processed.msg |
metadata.description |
原始日志中的 log_processed.msg 值会映射到 metadata.description 字段。 |
log_processed.ts |
metadata.event_timestamp |
原始日志中的 log_processed.ts 值会转换为时间戳,并映射到 metadata.event_timestamp 字段。 |
log_type |
metadata.log_type |
原始日志中的 log_type 值会映射到 metadata.log_type 字段。这是为提供上下文而添加的自定义字段。 |
logevent.message |
security_result.description |
原始日志中的 logevent.message 值会映射到 security_result.description 字段。系统还会使用 grok 对其进行解析,以提取其他字段。 |
logGroup |
security_result.about.resource.name |
原始日志中的 logGroup 值会映射到 security_result.about.resource.name 字段。 |
logStream |
security_result.about.resource.attribute.labels |
系统会将原始日志中的 logStream 值作为键值对添加到 security_result.about.resource.attribute.labels,键为“logStream”。 |
memory_used |
additional.fields |
系统会将原始日志中的 memory_used 值作为键值对添加到 additional.fields,键为“memory_used”。 |
metric_name |
additional.fields |
系统会将原始日志中的 metric_name 值作为键值对添加到 additional.fields,键为“metric_name”。 |
metric_stream_name |
additional.fields |
系统会将原始日志中的 metric_stream_name 值作为键值对添加到 additional.fields,键为“metric_stream_name”。 |
namespace |
principal.namespace |
原始日志中的 namespace 值会映射到 principal.namespace 字段。 |
owner |
principal.user.userid |
原始日志中的 owner 值会映射到 principal.user.userid 字段。 |
parameters |
additional.fields |
系统会将原始日志中的 parameters 值作为键值对添加到 additional.fields,键为“Parameters”。 |
Path |
principal.process.file.full_path |
原始日志中的 Path 值会映射到 principal.process.file.full_path 字段。 |
pid |
principal.process.pid |
原始日志中的 pid 值会映射到 principal.process.pid 字段。 |
PolicyName |
security_result.rule_name |
原始日志中的 PolicyName 值会映射到 security_result.rule_name 字段。 |
prin_host |
principal.hostname |
原始日志中的 prin_host 值会映射到 principal.hostname 字段。 |
principal_hostname |
principal.hostname |
原始日志中的 principal_hostname 值会映射到 principal.hostname 字段。 |
process |
principal.application |
原始日志中的 process 值会映射到 principal.application 字段。 |
rawData |
additional.fields |
系统会将原始日志中的 rawData 值作为键值对添加到 additional.fields,键为“原始数据”。 |
Recommendation |
security_result.detection_fields |
系统会将原始日志中的 Recommendation 值作为键值对添加到 security_result.detection_fields,键为“建议”。 |
referral_url |
network.http.referral_url |
原始日志中的 referral_url 值会映射到 network.http.referral_url 字段。 |
region |
principal.location.name |
原始日志中的 region 值会映射到 principal.location.name 字段。 |
resp_code |
network.http.response_code |
原始日志中的 resp_code 值会转换为整数,并映射到 network.http.response_code 字段。 |
resource_url |
network.http.referral_url |
原始日志中的 resource_url 值会映射到 network.http.referral_url 字段。 |
ResourceType |
target.resource.resource_subtype |
原始日志中的 ResourceType 值会映射到 target.resource.resource_subtype 字段。 |
response_body |
additional.fields |
原始日志中的 response_body 值会作为键值对添加到 additional.fields,键为“Response body”。 |
Role |
target.resource.product_object_id |
原始日志中的 Role 值会映射到 target.resource.product_object_id 字段。 |
s3_bucket_path |
target.file.full_path |
原始日志中的 s3_bucket_path 值会映射到 target.file.full_path 字段。 |
sec_result.category |
security_result.category |
sec_result.category 的值派生自解析器逻辑。如果 descr 包含“需要身份验证”字样,则值为“AUTH_VIOLATION”。 |
sec_result.description |
security_result.description |
sec_result.description 的值派生自解析器逻辑。它会设置为 cloudwatchLog 的值(如果存在)。 |
sec_result.severity |
security_result.severity |
sec_result.severity 的值派生自解析器逻辑。它是根据 severity 或 level 的值设置的。 |
sec_result.summary |
security_result.summary |
sec_result.summary 的值派生自解析器逻辑。它会设置为 log_processed.cause 或 errorMessage 的值(如果存在)。 |
security_result |
security_result |
security_result 对象由各种字段和解析器逻辑构成。 |
serverId |
additional.fields |
系统会将原始日志中的 serverId 值作为键值对添加到 additional.fields,键为“server_id”。 |
severity |
security_result.severity |
将原始日志中的 severity 值转换为大写并归一化后,系统会将其映射到 security_result.severity 字段。 |
Source |
principal.hostname |
原始日志中的 Source 值会映射到 principal.hostname 字段。 |
source |
principal.hostname |
原始日志中的 source 值会映射到 principal.hostname 字段。 |
SourceIP |
principal.ip |
原始日志中的 SourceIP 值会映射到 principal.ip 字段。 |
src_port |
principal.port |
如果 src_port 为“80”,则会转换为整数并映射到 principal.port 字段,并且 network.application_protocol 设置为“HTTP”。 |
stream |
additional.fields |
系统会将原始日志中的 stream 值作为键值对添加到 additional.fields,键为“stream”。 |
subscriptionFilters |
security_result.about.resource.attribute.labels |
对于原始日志中的 subscriptionFilters 数组中的每个元素,系统都会向 security_result.about.resource.attribute.labels 添加一个键值对,其中键为“subscriptionFilter”,值为数组中的值。 |
support_contact |
target.resource.attribute.labels |
系统会将原始日志中的 support_contact 值作为键值对添加到 target.resource.attribute.labels,键为“支持联系人”。 |
t_ip |
target.ip |
移除连字符后,原始日志中的 t_ip 值会被解析为 IP 地址,并映射到 target.ip 字段(如果成功)。 |
time |
metadata.event_timestamp |
原始日志中的 time 值会转换为时间戳,并映射到 metadata.event_timestamp 字段。 |
timestamp |
metadata.event_timestamp |
系统会使用各种格式将原始日志中的 timestamp 值转换为时间戳,并映射到 metadata.event_timestamp 字段。 |
tls |
network.tls.version |
原始日志中的 tls 值会映射到 network.tls.version 字段。 |
transferDetails.serverId |
additional.fields |
系统会将原始日志中的 transferDetails.serverId 值作为键值对添加到 additional.fields,键为“server_id”。 |
transferDetails.sessionId |
network.session_id |
原始日志中的 transferDetails.sessionId 值会映射到 network.session_id 字段。 |
transferDetails.username |
principal.user.user_display_name |
原始日志中的 transferDetails.username 值会映射到 principal.user.user_display_name 字段。 |
ts |
metadata.event_timestamp |
原始日志中的 ts 值与时区(如果有)组合后会转换为时间戳,并映射到 metadata.event_timestamp 字段。 |
type |
metadata.product_event_type |
原始日志中的 type 值会映射到 metadata.product_event_type 字段。 |
unit |
additional.fields |
系统会将原始日志中的 unit 值作为键值对添加到 additional.fields,键为“unit”。 |
url |
target.url |
原始日志中的 url 值会映射到 target.url 字段。 |
url_back_to_product |
metadata.url_back_to_product |
原始日志中的 url_back_to_product 值会映射到 metadata.url_back_to_product 字段。 |
User |
principal.user.userid |
原始日志中的 User 值会映射到 principal.user.userid 字段。 |
user |
target.user.userid、metadata.event_type、extensions.auth.mechanism |
如果存在 user,则 metadata.event_type 设置为“USER_LOGIN”,extensions.auth.mechanism 设置为“NETWORK”,user 的值会映射到 target.user.userid。 |
value.count |
additional.fields |
原始日志中的 value.count 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“count”。 |
value.max |
additional.fields |
系统会将原始日志中的 value.max 值转换为字符串,并将其作为键值对添加到 additional.fields 中,键为“max”。 |
value.min |
additional.fields |
原始日志中的 value.min 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“min”。 |
value.sum |
additional.fields |
原始日志中的 value.sum 值会转换为字符串,并作为键值对添加到 additional.fields 中,键为“sum”。 |
workflowId |
additional.fields |
系统会将原始日志中的 workflowId 值作为键值对添加到 additional.fields,键为“workflowId”。 |
变化
2024-02-12
- 增强功能:
- 将时间戳映射到 UNIX_MS。
2023-09-02
- 增强功能:
- 添加了“kv 块”以解析键值对格式日志。
- 将“SourceIP”映射到“principal.ip”。
- 将“prin_host”映射到“principal.hostname”。
- 将“用户”映射到“principal.user.userid”。
- 将“Ciphers”映射到“network.tls.client.supported_ciphers”。
- 将“executionId”映射到“principal.process.pid”。
- 将“transferDetails.sessionId”映射到“network.session_id”。
- 将“transferDetails.username”映射到“principal.user.user_display_name”。
- 映射了“transferDetails.serverId”“workflowId”“details.input.initialFileLocation.etag”“details.input.initialFileLocation.backingStore”“details.input.initialFileLocation.bucket”“details.input.initialFileLocation.key”
- “Mode”“Kex”更改为“additional.fields”。
- 将“BytesIn”映射到“network.received_bytes”。
- 将“角色”映射到“target.resource.product_object_id”。
2023-08-18
- 增强功能:
- 添加了 Grok 模式来解析未解析的原始日志。
2023-07-07
- 增强功能:
- 添加了对“logEvents”相关 JSON 日志的支持。
2022-12-17
- 将“CloudType”映射到“target.resource.attribute.cloud.environment”。
- 将“AlertId”映射到“metadata.product_log_id”。
- 将“ResourceType”映射到“target.resource.resource_subtype”。
- 将“ResourceRegion”映射到“target.location.country_or_region”。
- 将“建议”映射到“security_result.detection_fields”。
- 将“PolicyName”“detail.additionalEventData.configRuleName”映射到“security_result.rule_name”。
- 将“detail-type”映射到“metadata.product_event_type”。
- 将“region”“detail.awsRegion”映射到“principal.location.name”。
- 将“detail.eventSource”映射到“target.application”。
- 将“detail.requestID”映射到“target.resource.attribute.labels”。
- 将“detail.userAgent”映射到“network.http.user_agent”。
- 将“detail.eventVersion”映射到“metadata.product_version”。
- 将“detail.userIdentity.accountId”映射到“metadata.product_deployment_id”。
- 将“detail.userIdentity.accessKeyId”映射到“target.user.userid”。
- 将“detail.userIdentity.type”映射到“principal.resource.type”。
- 将“detail.userIdentity.principalId”映射到“principal.user.product_object_id”。
- 将“detail.user.arn”映射到“target.user.userid”。
- 将“detail.user.sessionContext.sessionIssuer.userName”映射到“target.user.user_display_name”。
- 将“detail.user.mfaAuthenticated”映射到“principal.user.attribute.labels”。
- 将“detail.recipientAccountId”映射到“target.resource.attribute.labels”。
- 将“detail.managementEvent”“detail.eventType”“detail.readOnly”“detail.eventName”“detail.additionalEventData.notificationJobType”“detail.additionalEventData.managedRuleIdentifier”“duration”“billed_duration”“memory_used”映射到“additional.fields”。
- 将“detail.eventCategory”映射到“security_result.category_details”。
- 将“detail.eventID”映射到“metadata.product_log_id”。
- 将“detail.additionalEventData.configRuleArn”映射到“security_result.rule_id”。
- 将“level”映射到“security_result.severity”。
- 将“src_port”映射到“principal.port”。
- 将“request_id”映射到“target.resource.attribute.labels”。
- 将“url”映射到“target.url”。
2022-09-03
- 增强功能:
- 添加了 grok 来解析新提取的日志。
- 将“package”映射到“event.idm.read_only_udm.principal.process.command_line”。
- 将“session_id”映射到“event.idm.read_only_udm.network.session_id”。
- 将“network_dir”映射到“event.idm.read_only_udm.network.direction”。
- 将“port”映射到“event.idm.read_only_udm.target.port”。
- 将“digestPublicKeyFingerprint”从“additional.fields”重新映射到“event.idm.read_only_udm.target.file.sha1”。
- 添加了其他日志级别(例如“AUDIT”“TRACE”“DEBUG”“NOTICE”“ERROR”)以进行严重级别映射。
- 将“target.ip”中的值复制到“principal.ip”,以将 event_type 设置为“STATUS_UPDATE”,从而降低了通用百分比。
- 针对“event_type”“USER_UNCATEGORIZED”“NETWORK_HTTP”“NETWORK_CONNECTION”“STATUS_UPADTE”添加了条件,以降低通用百分比。
2022-08-11
- bug 修复 - 将“digestS3Bucket”重新映射到“principal.resource.name”。
- 将“kubernetes.pod_name”重新映射到“additional.fields”。
2022-05-27
- 增强功能:
- 将 metadata.product_name 中存储的值修改为“AWS CloudWatch”,将 metadata.vendor_name 修改为“AMAZON”。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。