此页面由 Cloud Translation API 翻译。

收集 Check Point 防火墙日志

支持的平台：

Google SecOps SIEM

此解析器会提取 Check Point 防火墙日志。它可以处理 CEF 和非 CEF 格式的消息，包括 syslog、键值对和 JSON。它会对字段进行标准化处理，将其映射到 UDM，并针对登录/退出、网络连接和安全事件执行特定逻辑。它会使用地理位置和威胁情报等情境信息来丰富数据。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您拥有对 Check Point 防火墙的特权访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次选择 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane Agent

对于 Windows 安装，请运行以下脚本：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
对于 Linux 安装，请运行以下脚本：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需了解其他安装选项，请参阅此安装指南。

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

访问安装了 BindPlane 的机器。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

重启 BindPlane 代理以应用更改：
```
sudo systemctl restart bindplane
```

在 Check Point 防火墙中配置 Syslog 导出

使用特权账号登录 Check Point 防火墙界面。
依次前往日志和监控 > 日志服务器。
前往 Syslog 服务器。
点击配置，然后设置以下值：
- 协议：选择 UDP 以发送安全日志和/或系统日志。
- 名称：提供唯一的名称（例如 Bindplane_Server）。
- IP 地址：提供您的 syslog 服务器 IP 地址（绑定平面 IP）。
- 端口：提供您的 Syslog 服务器端口（BindPlane 端口）。
选择启用日志服务器。
选择要转发的日志：系统日志和安全日志。
点击应用。

UDM 映射表

日志字段	UDM 映射	逻辑
`Action`	`event.idm.read_only_udm.security_result.action_details`	直接从 `Action` 字段映射。
`Activity`	`event.idm.read_only_udm.security_result.summary`	直接从 `Activity` 字段映射。
`additional_info`	`event.idm.read_only_udm.security_result.description`	直接从 `additional_info` 字段映射。
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `administrator` 字段映射。键为“administrator”。
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `aggregated_log_count` 字段映射。键为“aggregated_log_count”。
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `appi_name` 字段映射。键为“appi_name”。
`app_category`	`event.idm.read_only_udm.security_result.category_details`	直接从 `app_category` 字段映射。
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `app_properties` 字段映射。键为“app_properties”。
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `app_risk` 字段映射。键为“app_risk”。
`app_session_id`	`event.idm.read_only_udm.network.session_id`	直接从 `app_session_id` 字段映射，并转换为字符串。
`attack`	`event.idm.read_only_udm.security_result.summary`	当 `Info` 存在时，直接从 `attack` 字段映射。
`attack`	`event.idm.read_only_udm.security_result.threat_name`	当 `Info` 存在时，直接从 `attack` 字段映射。
`attack_info`	`event.idm.read_only_udm.security_result.description`	直接从 `attack_info` 字段映射。
`auth_status`	`event.idm.read_only_udm.security_result.summary`	直接从 `auth_status` 字段映射。
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `browse_time` 字段映射。键为“browse_time”。
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `bytes` 字段映射。键为“bytes”。
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `bytes` 字段映射。键为“bytes”。
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `calc_service` 字段映射。键为“calc_service”。
`category`	`event.idm.read_only_udm.security_result.category_details`	直接从 `category` 字段映射。
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	直接从 `client_version` 字段映射。
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `conn_direction` 字段映射。键为“conn_direction”。
`conn_direction`	`event.idm.read_only_udm.network.direction`	如果 `conn_direction` 为“Incoming”，则映射为“INBOUND”。否则，映射到“OUTBOUND”。
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `connection_count` 字段映射。键为“connection_count”。
`contract_name`	`event.idm.read_only_udm.security_result.description`	直接从 `contract_name` 字段映射。
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	直接从 `cs2` 字段映射。
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	使用各种日期格式解析并转换为时间戳。
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `dedup_time` 字段映射。键为“dedup_time”。
`desc`	`event.idm.read_only_udm.security_result.summary`	直接从 `desc` 字段映射。
`description`	`event.idm.read_only_udm.security_result.description`	直接从 `description` 字段映射。
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `description_url` 字段映射。键为“description_url”。
`destinationAddress`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `destinationAddress` 字段映射。
`destinationPort`	`event.idm.read_only_udm.target.port`	直接从 `destinationPort` 字段映射，并转换为整数。
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `destinationTranslatedAddress` 字段映射。
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	直接从 `destinationTranslatedAddress` 字段映射。
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	直接从 `destinationTranslatedPort` 字段映射，并转换为整数。
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	直接从 `destinationTranslatedPort` 字段映射，并转换为整数。
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	直接从 `deviceCustomString2` 字段映射。
`deviceDirection`	`event.idm.read_only_udm.network.direction`	如果 `deviceDirection` 为 0，则映射到“OUTBOUND”。如果为 1，则映射到“INBOUND”。
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	直接从 `domain` 字段映射。
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	直接从 `domain_name` 字段映射。
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	直接从 `drop_reason` 字段映射。
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	与 `ts` 和 `tz` 搭配使用，用于构建事件时间戳。
`dst`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `dst` 字段映射。
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	直接从 `dst_country` 字段映射。
`dst_ip`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `dst_ip` 字段映射。
`dpt`	`event.idm.read_only_udm.target.port`	直接从 `dpt` 字段映射，并转换为整数。
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	直接从 `duration` 字段映射，如果大于 0，则转换为整数。
`duser`	`event.idm.read_only_udm.target.user.email_addresses`，`event.idm.read_only_udm.target.user.user_display_name`	如果 `duser` 字段与电子邮件地址格式匹配，则直接从该字段映射。
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	直接从 `environment_id` 字段映射。
`event_type`	`event.idm.read_only_udm.metadata.event_type`	由逻辑确定，基于是否存在特定字段和值。如果未识别出特定事件类型，则默认为 `GENERIC_EVENT`。可以是 `NETWORK_CONNECTION`、`USER_LOGIN`、`USER_CHANGE_PASSWORD`、`USER_LOGOUT`、`NETWORK_HTTP` 或 `STATUS_UPDATE`。
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `fieldschanges` 字段映射。键为“fieldschanges”。
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `flags` 字段映射。键为“flags”。
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `flexString2` 字段映射。键是 `flexString2Label` 的值。
`from_user`	`event.idm.read_only_udm.principal.user.userid`	直接从 `from_user` 字段映射。
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `fservice` 字段映射。键为“fservice”。
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	当 `product` 为空时，直接从 `fw_subproduct` 字段映射。
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	直接从 `geoip_dst.country_name` 字段映射。
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `hll_key` 字段映射。键为“hll_key”。
`hostname`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`、`event.idm.read_only_udm.intermediary.hostname`	当 `inter_host` 为空时，直接从 `hostname` 字段映射。
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	直接从 `http_host` 字段映射。键为“http_host”。
`id`	`event.idm.read_only_udm.metadata.product_log_id`	直接从 `_id` 字段映射。
`identity_src`	`event.idm.read_only_udm.target.application`	直接从 `identity_src` 字段映射。
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	如果 `identity_type` 为“user”，则映射到“VPN”。否则，映射到“MACHINE”。
`if_direction`	`event.idm.read_only_udm.network.direction`	直接从 `if_direction` 字段映射，并转换为大写形式。
`ifdir`	`event.idm.read_only_udm.network.direction`	直接从 `ifdir` 字段映射，并转换为大写形式。
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `ifname` 字段映射。键为“ifname”。
`IKE`	`event.idm.read_only_udm.metadata.description`	直接从 `IKE` 字段映射。
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `inzone` 字段映射。键为“inzone”。
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `industry_reference` 字段映射。键为“industry_reference”。
`instance_id`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 `instance_id` 字段映射。
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	直接从 `inter_host` 字段映射。
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	根据 `proto` 字段或 `service` 字段确定。可以是 TCP、UDP、ICMP、IP6IN4 或 GRE。
`ipv6_dst`	`event.idm.read_only_udm.target.ip`，`event.idm.read_only_udm.target.asset.ip`	直接从 `ipv6_dst` 字段映射。
`ipv6_src`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `ipv6_src` 字段映射。
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`，`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `layer_name` 字段映射。键为“layer_name”。
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`，`event.idm.read_only_udm.security_result.detection_fields[].value`	移除大括号后，直接从 `layer_uuid` 字段映射。键为“layer_uuid”。
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	移除括号和引号后，直接从 `layer_uuid_rule_uuid` 字段映射。
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	直接从 `log_id` 字段映射。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	直接从 `log_type` 字段映射。已硬编码为“CHECKPOINT_FIREWALL”。
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	移除大括号后，直接从 `loguid` 字段映射。
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `logic_changes` 字段映射。键为“logic_changes”。
`localhost`	`event.idm.read_only_udm.target.hostname`，`event.idm.read_only_udm.target.asset.hostname`	直接从 `localhost` 字段映射。`dst_ip` 设置为“127.0.0.1”。
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`，`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	直接从 `malware_action` 字段映射。键为“malware_action”。
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`，`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	直接从 `malware_family` 字段映射。键为“malware_family”。
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	移除大括号后，直接从 `malware_rule_id` 字段映射。键为“恶意软件规则 ID”。
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `malware_rule_name` 字段映射。键为“恶意软件规则名称”。
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `match_id` 字段映射。键为“match_id”。
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `matched_category` 字段映射。键为“matched_category”。
`message_info`	`event.idm.read_only_udm.metadata.description`	直接从 `message_info` 字段映射。
`method`	`event.idm.read_only_udm.network.http.method`	直接从 `method` 字段映射。
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `mitre_execution` 字段映射。键为“mitre_execution”。
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `mitre_initial_access` 字段映射。键为“mitre_initial_access”。
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	直接从 `nat_rulenum` 字段映射，并转换为字符串。
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `objecttype` 字段映射。键为“objecttype”。
`operation`	`event.idm.read_only_udm.security_result.summary`	直接从 `operation` 字段映射。
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `operation` 字段映射。键为“operation”。
`orig`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 `orig` 字段映射。
`origin`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.intermediary.ip`	直接从 `origin` 字段映射。
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`，`event.idm.read_only_udm.intermediary.labels[].value`	直接从 `origin_sic_name` 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”开头。
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `originsicname` 字段映射。键为“originsicname”。
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`，`event.idm.read_only_udm.intermediary.labels[].value`	直接从 `originsicname` 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”开头。
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	如果 `os_name` 包含“Win”，则映射到“WINDOWS”。如果设备名称包含“MAC”或“IOS”，则映射到“MAC”。如果包含“LINUX”，则映射到“LINUX”。
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	直接从 `os_version` 字段映射。
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `outzone` 字段映射。键为“outzone”。
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `packets` 字段映射。键为“packets”。
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `packet_capture_name` 字段映射。键为“packet_capture_name”。
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `packet_capture_time` 字段映射。键为“packet_capture_time”。
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `packet_capture_unique_id` 字段映射。键为“packet_capture_unique_id”。
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `parent_rule` 字段映射。键为“parent_rule”。
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `performance_impact` 字段映射。键为“performance_impact”。
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	使用 grok 从 `__policy_id_tag` 字段中提取并映射。键为“政策名称”。
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `policy_time` 字段映射。键为“policy_time”。
`portal_message`	`event.idm.read_only_udm.security_result.description`	直接从 `portal_message` 字段映射。
`principal_hostname`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	如果 `principal_hostname` 字段是有效的 IP 地址，则直接从该字段映射。
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	如果 `principal_hostname` 字段不是有效的 IP 地址，也不是“检查点”，则直接从该字段映射。
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `ProductFamily` 字段映射。键为“ProductFamily”。
`product`	`event.idm.read_only_udm.metadata.product_name`	直接从 `product` 字段映射。
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `product_family` 字段映射。键为“product_family”。
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `product_family` 字段映射。键为“product_family”。
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	当 `product` 为空时，直接从 `ProductName` 字段映射。
`product_name`	`event.idm.read_only_udm.metadata.product_name`	直接从 `product_name` 字段映射。
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `profile` 字段映射。键为“profile”。
`protocol`	`event.idm.read_only_udm.network.application_protocol`	如果 `protocol` 字段为“HTTP”，则直接从该字段映射。
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	直接从 `proxy_src_ip` 字段映射。
`reason`	`event.idm.read_only_udm.security_result.summary`	直接从 `reason` 字段映射。
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	直接从 `received_bytes` 字段映射，转换为无符号整数。
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`，`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `Reference` 字段映射。键为“Reference”。用于使用 `attack` 构造 `_vuln.name`。
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `reject_id_kid` 字段映射。键为“reject_id_kid”。
`resource`	`event.idm.read_only_udm.target.url`	会解析为 JSON 并映射到目标网址。如果解析失败，则会直接映射。
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	会解析为 JSON，并将 `resource` 数组中的每个值添加到列表中。键为“Resource”。
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	使用 `date_time` 解析，以创建事件时间戳。
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	解析为自公元纪年以来的毫秒数，并转换为时间戳。
`rule`	`event.idm.read_only_udm.security_result.rule_name`	直接从 `rule` 字段映射。
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `rule_action` 字段映射。键为“rule_action”。
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	直接从 `rule_name` 字段映射。
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	直接从 `rule_uid` 字段映射。
`s_port`	`event.idm.read_only_udm.principal.port`	直接从 `s_port` 字段映射，并转换为整数。
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `scheme` 字段映射。键为“scheme”。
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `security_inzone` 字段映射。键为“security_inzone”。
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `security_outzone` 字段映射。键为“security_outzone”。
`security_result_action`	`event.idm.read_only_udm.security_result.action`	直接从 `security_result_action` 字段映射。
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `sendtotrackerasadvancedauditlog` 字段映射。键为“sendtotrackerasadvancedauditlog”。
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	直接从 `sent_bytes` 字段映射，转换为无符号整数。
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	直接从 `sequencenum` 字段映射。键为“sequencenum”。
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `ser_agent_kid` 字段映射。键为“ser_agent_kid”。
`service`	`event.idm.read_only_udm.target.port`	直接从 `service` 字段映射，并转换为整数。
`service_id`	`event.idm.read_only_udm.network.application_protocol`	如果 `service_id` 字段的值为“dhcp”“dns”“http”“https”或“quic”，则直接从该字段映射，并转换为大写。
`service_id`	`event.idm.read_only_udm.principal.application`	如果不是网络应用协议，则直接从 `service_id` 字段映射。
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `service_id` 字段映射。键为“service_id”。
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `session_description` 字段映射。键为“session_description”。
`session_id`	`event.idm.read_only_udm.network.session_id`	移除大括号后，直接从 `session_id` 字段映射。
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `session_name` 字段映射。键为“session_name”。
`session_uid`	`event.idm.read_only_udm.network.session_id`	移除大括号后，直接从 `session_uid` 字段映射。
`Severity`	`event.idm.read_only_udm.security_result.severity`	根据 `Severity` 的值映射为“LOW”“MEDIUM”“HIGH”或“CRITICAL”。
`severity`	`event.idm.read_only_udm.security_result.severity`	根据 `severity` 的值映射为“LOW”“MEDIUM”“HIGH”或“CRITICAL”。
`site`	`event.idm.read_only_udm.network.http.user_agent`	直接从 `site` 字段映射。
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `smartdefense_profile` 字段映射。键为“smartdefense_profile”。
`snid`	`event.idm.read_only_udm.network.session_id`	直接从 `snid` 字段映射（如果该字段不为空或不为“0”）。
`sourceAddress`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `sourceAddress` 字段映射。
`sourcePort`	`event.idm.read_only_udm.principal.port`	直接从 `sourcePort` 字段映射，并转换为整数。
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `sourceTranslatedAddress` 字段映射。
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	直接从 `sourceTranslatedAddress` 字段映射。
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	直接从 `sourceTranslatedPort` 字段映射，并转换为整数。
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	直接从 `sourceTranslatedPort` 字段映射，并转换为整数。
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.user.first_name`、`event.idm.read_only_udm.principal.user.last_name`	使用 grok 解析，以提取用户 ID、名字和姓氏。
`spt`	`event.idm.read_only_udm.principal.port`	直接从 `spt` 字段映射，并转换为整数。
`src`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `src` 字段映射。
`src_ip`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	直接从 `src_ip` 字段映射。
`src_localhost`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	直接从 `src_localhost` 字段映射。`src_ip` 设置为“127.0.0.1”。
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `src_machine_name` 字段映射。键为“src_machine_name”。
`src_port`	`event.idm.read_only_udm.principal.port`	直接从 `src_port` 字段映射，并转换为整数。
`src_user`	`event.idm.read_only_udm.principal.user.userid`	直接从 `src_user` 字段映射。
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `src_user_dn` 字段映射。键为“src_user_dn”。
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	直接从 `src_user_name` 字段映射。
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `sub_policy_name` 字段映射。键为“sub_policy_name”。
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `sub_policy_uid` 字段映射。键为“sub_policy_uid”。
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `subject` 字段映射。键为“subject”。
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	直接从 `subscription_stat_desc` 字段映射。
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `tags` 字段映射。键为“tags”。
`tar_user`	`event.idm.read_only_udm.target.user.userid`	直接从 `tar_user` 字段映射。
`target_port`	`event.idm.read_only_udm.target.port`	直接从 `target_port` 字段映射。
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `tcp_flags` 字段映射。键为“tcp_flags”。
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `tcp_packet_out_of_state` 字段映射。键为“tcp_packet_out_of_state”。
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	使用各种日期格式解析并转换为时间戳。
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	使用 `ds` 和 `tz` 解析，以创建事件时间戳。
`type`	`event.idm.read_only_udm.security_result.rule_type`	直接从 `type` 字段映射。
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	与 `ds` 和 `ts` 搭配使用，用于构建事件时间戳。
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	直接从 `update_count` 字段映射。键为“update_count”。
`URL`	`event.idm.read_only_udm.security_result.about.url`	直接从 `URL` 字段映射。
`user`	`event.idm.read_only_udm.principal.user.userid`	直接从 `user` 字段映射。
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接从 `user_agent` 字段映射。也会被解析并映射到 `event.idm.read_only_udm.network.http.parsed_user_agent`。
`userip`	`event.idm.read_only_udm.principal.ip`，`event.idm.read_only_udm.principal.asset.ip`	如果 `userip` 字段是有效的 IP 地址，则直接从该字段映射。
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	移除大括号后，直接从 `UUid` 字段映射。
`version`	`event.idm.read_only_udm.metadata.product_version`	直接从 `version` 字段映射。
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	直接从 `web_client_type` 字段映射。
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	直接从 `xlatedport` 字段映射，并转换为整数。
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	直接从 `xlatedst` 字段映射。
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	直接从 `xlatesport` 字段映射，并转换为整数。
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	直接从 `xlatesrc` 字段映射。
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	硬编码的值。
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	硬编码的值。
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	默认值，除非被特定逻辑替换。
`event.idm.is_alert`	`true`	如果 `alert` 字段为“yes”，则设置为 true。
`has_principal`	`true`	提取主 IP 或主机名时设为 true。
`has_target`	`true`	提取目标 IP 或主机名时设为 true。

更改

2024-05-29

将“layer_uuid_rule_uuid”映射到“security_result.rule_id”。
将“domain”映射到“principal.administrative_domain”。
将“fservice”“appi_name”“app_risk”和“policy_name”映射到“security_result.detection_fields”。
将“packets”“__id”“dedup_time”“browse_time”“bytes”“product_family”“hll_key”和“calc_service”映射到“additional.fields”。
将“id”映射到“metadata.product_log_id”。
将“orig_log_server”映射到“principal.resource.product_object_id”。
将“environment_id”映射到“target.resource.product_object_id”。
将“client_outbound_packets”和“client_inbound_packets”映射到“principal.resource.attribute.labels”。
将“server_outbound_bytes”和“server_inbound_bytes”映射到“target.resource.attribute.labels”。
将“orig”映射到“principal.hostname”和“principal.asset.hostname”。
将“orig_log_server_ip”映射到“principal.ip”和“principal.asset.ip”。
将“proto”映射到“network.ip_protocol”。

2024-05-20

添加了 Grok 模式以提取“inter_host”。
将“inter_host”映射到“intermediary.hostname”。

2024-04-19

增强功能和 bug 修复：
将“origin”映射到“target.ip”和“target.asset.ip”。
添加了新的 Grok 模式，用于解析新格式的 SYSLOG 日志。
将“smartdefense_profile”“malware_rule_id”和“malware_rule_name”映射到“security_result.detection_fields”。
将“sequencenum”“description_url”“industry_reference”“mitre_execution”“packet_capture_name”“packet_capture_unique_id”“packet_capture_time”和“performance_impact”映射到“additional.fields”。
将“version”映射到“metadata.product_version”。
将“http_host”映射到“target.resource.attribute.labels”。
将“log_id”映射到“metadata.product_log_id”。
将“user_agent”映射到“network.http.user_agent”和“http.parsed_user_agent”。
将“hostname”“dvc”和“principal_hostname”映射到“target.hostname”和“target.asset.hostname”。
如果“has_principal”为“true”“has_target”为“true”，并且“Action”/“action”为“Log In”或“Failed Log In”或“Failed Login”或“Update”，请将“metadata.event_type”设置为“USER_LOGIN”并将“extensions.auth.type”设置为“AUTHTYPE_UNSPECIFIED”。
如果“has_principal”为“true”“has_target”为“true”，并且“Action”“act”“event_type”为“Log Out”或“Logout”，请将“metadata.event_type”设置为“USER_LOGOUT”并将“extensions.auth.type”设置为“AUTHTYPE_UNSPECIFIED”。
如果“has_principal”为“true”且“has_target”为“true”，则将“metadata.event_type”设置为“NETWORK_CONNECTION”。
如果“has_principal”为“true”，“has_target”为“false”，则将“metadata.event_type”设置为“STATUS_UPDATE”。

2024-02-07

添加了以下字段的映射：
将“protection_id”“malware_action”“malware_family”“protection_name”“protection_type”映射到“security_result.detection_fields”。
将“confidence_level”映射到“security_result.confidence”和“security_result.confidence_details”。

2024-02-05

添加了以下字段的映射：
将“method”映射到“network.http.method”。

2024-01-24

添加了以下字段的映射：
将“method”映射到“network.http.method”。
将“时长”映射到“network.session_duration.seconds”。
将“additional_info”映射到“security_result.description”。
将“operation”映射到“security_result.summary”。
将“subject”映射到“metadata.description”。
将“principal_hostname”映射到“intermediary.hostname”。
映射了“tcp_packet_out_of_state”“aggregated_log_count”“connection_count”“appi_name”“src_user_dn”
“update_count”“additional_info”“administrator”“operation”“sendtotrackerasadvancedauditlog”
"subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
“session_name”更改为“security_result.detection_fields”。

2023-12-27

添加了以下字段的映射：
将“flags”映射到“security_result.detection_fields”。
将“tcp_flags”映射到“security_result.detection_fields”。
将“tcp_packet_out_of_state”映射到“security_result.detection_fields”。

2023-12-11

如果“principal_hostname”是有效 IP，则将其映射到“principal.ip”。
如果“principal_hostname”不是有效的 IP 地址，则将其映射到“principal.hostname”。
将“sport_svc”映射到“principal.port”。
将“ProductFamily”映射到“additional.fields”。
将“mitre_initial_access”映射到“security_result.detection_fields”。
将“policy_time”映射到“security_result.detection_fields”。
将“profile”映射到“security_result.detection_fields”。
将“reject_id_kid”映射到“security_result.detection_fields”。
将“ser_agent_kid”映射到“security_result.detection_fields”。

2023-10-11

如果“product”为“New Anti Virus”，则移除“firewall management node”与“principal.hostname”之间的映射，改为映射到“security_result.detection_fields”。

2023-07-06

添加了以下字段的映射：
将“app_category”映射到“security_result.category_details”。
将“matched_category”映射到“security_result.detection_fields”。
将“app_properties”映射到“security_result.detection_fields”。

2023-06-14

添加了以下字段的映射
将“conn_direction”映射到“additional.fields”。
修改了 gsub，以免将实际值中的“:”替换为“=”。

2023-05-12

添加了以下字段的映射
将“rule_name”映射到“security_result.rule_name”。
将“rule”“sub_policy_name”“sub_policy_uid”“smartdefense_profile”“tags”“flexString2”映射到“security_result.detection_fields”。
添加了新的 Grok 模式，以支持新的日志格式。
将“dvc”映射到“intermediary.hostname”。
将“hostname”映射到“intermediary.hostname”。
将“origin_sic_name”映射到“intermediary.asset_id”。
将“conn_direction”映射到“network.ip_protocol”。
将“ifname”映射到“security_result.detection_fields”。
将“security_inzone”映射到“security_result.detection_fields”。
将“match_id”映射到“security_result.detection_fields”。
将“parent_rule”映射到“security_result.detection_fields”。
将“security_outzone”映射到“security_result.detection_fields”。
将“sub_policy_name”映射到“security_result.detection_fields”。
将“sub_policy_uid”映射到“security_result.detection_fields”。
将“drop_reason”映射到“security_result.summary”。
将“reason”映射到“security_result.summary”。
将“xlatesport”映射到“principal.nat_port”。
将“xlatedport”映射到“target.nat_port”。
将“ipv6_dst”映射到“target.ip”。
将“ipv6_src”映射到“principal.ip”。

2023-04-24

添加了对 CEF 格式日志的支持。

2022-11-18

修改了“service”的映射，并将其映射到“target.port”。

2022-10-27

添加了针对“attack”“attack_info”“policy_name”的条件检查。
添加了 Grok 模式以检索“principal_hostname”。
添加了 gsub 来将“=”更改为“:”。
修改了“service”的映射，并将其映射到“target.resource.attribute.labels”。

2022-10-13

将字段“fw_subproduct”映射到“metadata.product_name”。
添加了 Grok 模式，用于从字段“src”中提取 IP。

2022-08-30

将客户专用版本的更改合并到了默认版本。
在 UserCheck 中取消丢弃包含“*****”的日志。

2022-08-18

将“portal_message”映射到“security_result.description”。
如果“portal_message”包含“malware/malicious”关键字，则将“security_result.category”映射为“SOFTWARE_MALICIOUS”。
将“网址”映射到“security_result.about.url”。
将“activity”映射到“security_result.summary”。
将“Reference”映射到“security_result.about.resource.attribute.labels”。
将“event_type”从“GENERIC_EVENT”修改为“STATUS_UPDATE”，方法是将“intermediary.ip”的值复制到“principal.ip”。

2022-08-12

将“malware_action”“malware_family”“protection_name”“protection_type”映射到“security_result.about.resource.attribute.labels”。
将“src_machine_name”映射到“security_result.detection_fields”。

2022-06-30

将“message_info”映射到“metadata.description”。

2022-06-17

为“nat_rulenum”“rule”“sent_bytes”“received_bytes”“s_port”“service”字段添加了条件检查。
修改了以下情形的 event_type：
将“GENERIC_EVENT”更改为“NETWORK_CONNECTION”，其中“principal.ip or principal.hostname”和“target.ip or target.hostname”均不为 null。
将“GENERIC_EVENT”更改为“STATUS_UNCATEGORIZED”，前提是“principal.ip 或 principal.hostname”不为 null。

2022-06-14

修改了解析器，移除了对 passwd 的条件检查，以便解析更多日志。

2022-06-07

将 src_machine_name 映射到 security_result.detection_fields。

2022-05-19

将 inzone、outzone、layer_name、layer_uuid 和 policy_name 映射到 security_result.detection_fields。
将 service_id 映射到 principal.application。