Cloudflare-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloudflare-Logs mit Webhook (HTTP-Ziel) oder Google Cloud Storage in Google Security Operations aufnehmen. Cloudflare generiert Betriebsdaten in Form von Logs für DNS, HTTP, Audit, Zero Trust und CASB. Mit dieser Integration können Sie diese Logs zur Analyse und Überwachung an Google SecOps senden. Der Parser initialisiert zuerst eine Reihe leerer Felder und parst dann JSON-formatierte Cloudflare-Logs. Alle Nachrichten, die kein gültiges JSON sind, werden verworfen. Im Code wird dann anhand des Vorhandenseins und der Werte bestimmter Felder bedingte Logik verwendet, um das Cloudflare-Produkt und den Ereignistyp zu ermitteln. Die Felder des Unified Data Model (UDM) werden entsprechend ausgefüllt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Cloudflare Enterprise-Konto mit aktivierter LogPush-Funktion.
  • Für die Webhook-Methode: Privilegierter Zugriff auf die Google Cloud -Konsole.
  • Google Cloud Storage-Methode: Berechtigter Zugriff auf Google Cloud Storage.

Methode 1: Cloudflare-Logexport mit Webhook (HTTP-Ziel) konfigurieren

Mit dieser Methode können Sie Cloudflare-Logs direkt in Google SecOps streamen, ohne dass eine Zwischenspeicherung erforderlich ist.

Webhook-Feed in Google SecOps konfigurieren

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Cloudflare Webhook.
  4. Wählen Sie Webhook als Quelltyp aus.
  5. Wählen Sie Cloudflare als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: \n.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn, da Sie ihn nicht noch einmal aufrufen können.
  12. Wechseln Sie zum Tab Details.
  13. Kopieren Sie die Feed-Endpunkt-URL aus dem Feld Endpoint Information (Endpunktinformationen).
  14. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > „APIs & Dienste“ > „Anmeldedaten“ auf.
  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
  3. Klicken Sie auf API-Schlüssel bearbeiten.
  4. Wählen Sie unter API-Einschränkungen die Option Schlüssel einschränken aus.
  5. Wählen Sie in der Liste Google SecOps API aus.
  6. Klicken Sie auf Speichern.
  7. Kopieren Sie den API-Schlüsselwert.

Cloudflare LogPush-HTTP-Ziel konfigurieren

  1. Melden Sie sich im Cloudflare-Dashboard an.
  2. Wählen Sie das Unternehmenskonto oder die Domain aus, die Sie mit LogPush verwenden möchten.
  3. Rufen Sie Analytics & Logs > Logpush auf.
  4. Klicken Sie auf Logpush-Job erstellen.
  5. Wählen Sie unter Ziel auswählen die Option HTTP-Ziel aus.

  6. Geben Sie die HTTP-Endpunkt-URL mit Authentifizierungsparametern ein:

    <ENDPOINT_URL>?header_X-goog-api-key=<API_KEY>&header_X-Webhook-Access-Key=<SECRET_KEY>

    Ersetzen Sie Folgendes:

    • <ENDPOINT_URL>: die Feed-Endpunkt-URL von Google SecOps.
    • <API_KEY>: Der API-Schlüssel aus der Google Cloud -Konsole (URL-codiert, falls er Sonderzeichen enthält).
    • <SECRET_KEY>: Der geheime Schlüssel aus dem Webhook-Feed (URL-codiert, wenn er Sonderzeichen enthält).

  7. Klicken Sie auf Weiter.

  8. Wählen Sie das Dataset aus, das übertragen werden soll, z. B. HTTP-Anfragen, DNS, Audit, Zero Trust oder CASB.

  9. Konfigurieren Sie Ihren Logpush-Job:

    • Geben Sie den Jobnamen ein.
    • Optional: Konfigurieren Sie unter Wenn Logs übereinstimmen Filter.
    • Wählen Sie unter Folgende Felder senden die Felder aus, die eingeschlossen werden sollen.
    • Wählen Sie das Zeitstempelformat aus (RFC3339 wird empfohlen).
    • Konfigurieren Sie bei Bedarf die Abtastrate.

  10. Klicken Sie auf Senden, um den Logpush-Job zu erstellen.

Webhook-Integration prüfen

Nach der Konfiguration sollten die Logs innerhalb weniger Minuten in Google SecOps angezeigt werden. So nehmen Sie eine Bestätigung vor:

  1. Gehen Sie zu Untersuchung > SIEM-Suche.
  2. Suchen Sie nach Logs mit dem konfigurierten Aufnahmelabel.
  3. Prüfen Sie, ob Cloudflare-Logs richtig geparst werden.

Methode 2: Cloudflare-Logexport mit Google Cloud Storage konfigurieren

Konfigurieren Sie Cloudflare so, dass Logs an das Gateway gesendet werden. Dazu müssen Sie Cloudflare die erforderlichen Berechtigungen erteilen.

Google Cloud Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.
  2. Rufen Sie die Seite Cloud Storage-Buckets auf.
  3. Klicken Sie auf Erstellen.
  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein:
    • Name: Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudflare-data).
    • Standorttyp: Wählen Sie einen Standorttyp und eine Region aus.
    • Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
  5. Klicken Sie auf Erstellen.

Berechtigungen für den Bucket erteilen

  1. Wählen Sie in der Cloud Storage-Konsole den Bucket aus, den Sie zuvor erstellt haben.
  2. Klicken Sie auf den Tab Berechtigungen.
  3. Klicken Sie auf Zugriff erlauben.
  4. Fügen Sie das Konto logpush@cloudflare-data.iam.gserviceaccount.com mit der Berechtigung Storage-Objekt-Administrator hinzu.
  5. Klicken Sie auf Speichern.

Cloudflare LogPush für Google Cloud Storage konfigurieren

  1. Melden Sie sich im Cloudflare-Dashboard an.
  2. Wählen Sie das Unternehmenskonto oder die Domain aus, die Sie mit LogPush verwenden möchten.
  3. Rufen Sie Analytics & Logs > Logpush auf.
  4. Klicken Sie auf Logpush-Job erstellen.
  5. Wählen Sie unter Ziel auswählen die Option Google Cloud Storage aus.
  6. Geben Sie den Pfad zu Ihrem Google Cloud Storage-Bucket ein (z. B. gs://cloudflare-data/logs/).

  7. Klicken Sie auf Weiter.

  8. Geben Sie das Ownership Token ein und klicken Sie auf Weiter.

  9. Wählen Sie das Dataset aus, das in den Speicher übertragen werden soll.

  10. Konfigurieren Sie Ihren Logpush-Job:

    • Geben Sie den Jobnamen ein.
    • Unter Wenn Protokolle übereinstimmen können Sie die Ereignisse auswählen, die in Ihre Protokolle aufgenommen oder daraus entfernt werden sollen.
    • Wählen Sie unter Folgende Felder senden aus, welche Logs übertragen werden sollen.
    • Wählen Sie das Zeitstempelformat aus (RFC 339 wird empfohlen).
    • Konfigurieren Sie bei Bedarf die Abtastrate.

  11. Klicken Sie auf Senden.

Feed in Google SecOps konfigurieren, um Cloudflare-Logs aus Google Cloud Storage aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Cloudflare GCS Logs.
  4. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  5. Wählen Sie Cloudflare als Logtyp aus.
  6. Klicken Sie auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Bucket-URL im Format gs://my-bucket/<value>/. Diese URL muss mit einem nachgestellten Schrägstrich (/) enden.
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
    • Maximales Dateialter: Enthält Dateien, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
ClientIP read_only_udm.principal.asset.ip
read_only_udm.principal.ip		 Der Wert wird aus dem Feld „ClientIP“ übernommen.
ClientRequestHost read_only_udm.target.asset.hostname
read_only_udm.target.hostname		 Der Wert wird aus dem Feld „ClientRequestHost“ übernommen.
ClientRequestMethod read_only_udm.network.http.method Der Wert wird aus dem Feld „ClientRequestMethod“ übernommen.
ClientRequestURI read_only_udm.target.url Der Wert wird aus dem Feld „ClientRequestURI“ übernommen. Wenn das Feld „ClientRequestHost“ nicht leer ist, wird der Wert mit dem Feld „ClientRequestHost“ verkettet.
ClientSrcPort read_only_udm.principal.port Der Wert wird aus dem Feld „ClientSrcPort“ übernommen.
ClientRequestUserAgent read_only_udm.network.http.user_agent Der Wert wird aus dem Feld „ClientRequestUserAgent“ übernommen.
ClientSSLCipher read_only_udm.network.tls.cipher Der Wert wird aus dem Feld „ClientSSLCipher“ übernommen.
ClientSSLProtocol read_only_udm.network.tls.version Der Wert wird aus dem Feld „ClientSSLProtocol“ übernommen.
Land read_only_udm.target.location.country_or_region Der Wert wird aus dem Feld „Land“ übernommen.
CreatedAt read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „CreatedAt“ übernommen.
Datum/Uhrzeit read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „Datetime“ übernommen.
DestinationIP read_only_udm.target.asset.ip
read_only_udm.target.ip		 Der Wert wird aus dem Feld „DestinationIP“ übernommen.
DestinationPort read_only_udm.target.port Der Wert wird aus dem Feld „DestinationPort“ übernommen.
DeviceID read_only_udm.principal.asset_id Der Wert wird aus dem Feld „DeviceID“ übernommen und mit „Cloudflare:“ vorangestellt.
DeviceName read_only_udm.principal.asset.hostname
read_only_udm.principal.hostname		 Der Wert wird aus dem Feld „DeviceName“ übernommen.
DstIP read_only_udm.target.asset.ip
read_only_udm.target.ip		 Der Wert wird aus dem Feld „DstIP“ übernommen.
DstPort read_only_udm.target.port Der Wert wird aus dem Feld „DstPort“ übernommen.
EdgeResponseBytes read_only_udm.network.received_bytes Der Wert wird aus dem Feld „EdgeResponseBytes“ übernommen.
EdgeResponseStatus read_only_udm.network.http.response_code Der Wert wird aus dem Feld „EdgeResponseStatus“ übernommen.
EdgeServerIP read_only_udm.target.asset.ip
read_only_udm.target.ip		 Der Wert wird aus dem Feld „EdgeServerIP“ übernommen.
E-Mail read_only_udm.principal.user.email_addresses
read_only_udm.target.user.email_addresses		 Der Wert wird aus dem Feld „E-Mail“ übernommen.
FirewallMatchesActions read_only_udm.security_result.action Der Wert wird auf „ALLOW“ gesetzt, wenn das Feld „FirewallMatchesAction“ „allow“, „Allow“, „ALLOW“, „skip“, „SKIP“ oder „Skip“ ist, auf „ALLOW_WITH_MODIFICATION“, wenn das Feld „FirewallMatchesAction“ „challengeSolved“ oder „jschallengeSolved“ ist, auf „BLOCK“, wenn das Feld „FirewallMatchesAction“ „drop“ oder „block“ ist, und auf „UNKNOWN_ACTION“, wenn das Feld „FirewallMatchesAction“ nicht leer ist.
FirewallMatchesRuleIDs read_only_udm.security_result.rule_id Der Wert wird aus dem Feld „FirewallMatchesRuleIDs“ übernommen.
FirewallMatchesSources read_only_udm.security_result.rule_name Der Wert wird aus dem Feld „FirewallMatchesSources“ übernommen.
HTTPMethod read_only_udm.network.http.method Der Wert wird aus dem Feld „HTTPMethod“ übernommen.
HTTPHost read_only_udm.target.hostname Der Wert wird aus dem Feld „HTTPHost“ übernommen.
HTTPVersion read_only_udm.network.application_protocol Der Wert wird aus dem Feld „HTTPVersion“ übernommen. Wenn der Wert „HTTP“ enthält, wird er durch „HTTP“ ersetzt.
IPAddress read_only_udm.target.asset.ip
read_only_udm.target.ip		 Der Wert wird aus dem Feld „IPAddress“ übernommen.
IsIsolated read_only_udm.about.labels
read_only_udm.security_result.about.resource.attribute.labels		 Der Wert wird aus dem Feld „IsIsolated“ übernommen und in einen String konvertiert.
Standort read_only_udm.principal.location.name Der Wert wird aus dem Feld „Standort“ übernommen.
OriginIP read_only_udm.intermediary.ip
read_only_udm.target.asset.ip
read_only_udm.target.ip		 Der Wert wird aus dem Feld „OriginIP“ übernommen.
OriginPort read_only_udm.target.port Der Wert wird aus dem Feld „OriginPort“ übernommen.
OwnerID read_only_udm.target.user.product_object_id Der Wert wird aus dem Feld „OwnerID“ übernommen.
Richtlinie read_only_udm.security_result.rule_name Der Wert wird aus dem Feld „Richtlinie“ übernommen.
PolicyID read_only_udm.security_result.rule_id Der Wert wird aus dem Feld „PolicyID“ übernommen.
PolicyName read_only_udm.security_result.rule_name Der Wert wird aus dem Feld „PolicyName“ übernommen.
Protokoll read_only_udm.network.ip_protocol Der Wert wird aus dem Feld „Protocol“ (Protokoll) übernommen und in Großbuchstaben umgewandelt.
QueryCategoryIDs read_only_udm.security_result.about.labels
read_only_udm.security_result.about.resource.attribute.labels		 Der Wert wird aus dem Feld „QueryCategoryIDs“ übernommen.
QueryName read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „QueryName“ übernommen.
QueryNameReversed read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „QueryNameReversed“ übernommen.
QuerySize read_only_udm.network.sent_bytes Der Wert wird aus dem Feld „QuerySize“ übernommen.
QueryType read_only_udm.network.dns.questions.type Der Wert wird aus dem Feld „QueryType“ übernommen. Wenn der Wert einem der bekannten DNS-Eintragstypen entspricht, wird er dem entsprechenden numerischen Wert zugeordnet. Andernfalls wird der Wert in einen String umgewandelt.
RData read_only_udm.network.dns.answers Der Wert wird aus dem Feld „RData“ übernommen. Das Feld „type“ wird in eine vorzeichenlose Ganzzahl konvertiert.
RayID read_only_udm.metadata.product_log_id Der Wert wird aus dem Feld „RayID“ übernommen.
Verwiesen von: read_only_udm.network.http.referral_url Der Wert wird aus dem Feld „Referer“ übernommen.
RequestID read_only_udm.metadata.product_log_id Der Wert wird aus dem Feld „RequestID“ übernommen.
ResolverDecision read_only_udm.security_result.summary Der Wert wird aus dem Feld „ResolverDecision“ übernommen.
ResourceID read_only_udm.target.resource.id
read_only_udm.target.resource.product_object_id		 Der Wert wird aus dem Feld „ResourceID“ übernommen.
ResourceType read_only_udm.target.resource.resource_subtype Der Wert stammt aus dem Feld „ResourceType“.
SNI read_only_udm.network.tls.client.server_name Der Wert wird aus dem SNI-Feld übernommen.
SecurityAction read_only_udm.security_result.action Der Wert wird auf „ALLOW“ gesetzt, wenn das Feld „SecurityAction“ oder „sec_action“ leer ist, auf „ALLOW_WITH_MODIFICATION“, wenn das Feld „SecurityAction“ „challengeSolved“ oder „jschallengeSolved“ ist, und auf „BLOCK“, wenn das Feld „SecurityAction“ „drop“ oder „block“ ist.
SecurityLevel read_only_udm.security_result.severity Der Wert wird aus dem Feld „SecurityLevel“ übernommen und dem entsprechenden UDM-Schweregradwert zugeordnet.
SessionID read_only_udm.network.session_id Der Wert wird aus dem Feld „SessionID“ übernommen.
SessionStartTime read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „SessionStartTime“ übernommen.
SourceIP read_only_udm.principal.asset.ip
read_only_udm.principal.ip
read_only_udm.src.asset.ip
read_only_udm.src.ip		 Der Wert wird aus dem Feld „SourceIP“ übernommen.
SourcePort read_only_udm.principal.port
read_only_udm.src.port		 Der Wert wird aus dem Feld „SourcePort“ übernommen.
SrcIP read_only_udm.principal.asset.ip
read_only_udm.principal.ip		 Der Wert wird aus dem Feld „SrcIP“ übernommen.
SrcPort read_only_udm.principal.port Der Wert wird aus dem Feld „SrcPort“ übernommen.
TemporaryAccessDuration read_only_udm.network.session_duration.seconds Der Wert wird aus dem Feld „TemporaryAccessDuration“ übernommen.
Zeitstempel read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „Zeitstempel“ übernommen.
Transport read_only_udm.network.ip_protocol Der Wert wird aus dem Feld „Transport“ übernommen und in Großbuchstaben umgewandelt.
URL read_only_udm.target.url Der Wert wird aus dem URL-Feld übernommen.
User-Agent read_only_udm.network.http.user_agent Der Wert wird aus dem Feld „UserAgent“ übernommen.
UserID read_only_udm.principal.user.product_object_id Der Wert wird aus dem Feld „UserID“ übernommen.
UserUID read_only_udm.target.user.product_object_id Der Wert wird aus dem Feld „UserUID“ übernommen.
VirtualNetworkID read_only_udm.principal.resource.product_object_id Der Wert wird aus dem Feld „VirtualNetworkID“ übernommen.
WAFAction read_only_udm.security_result.about.labels
read_only_udm.security_result.about.resource.attribute.labels		 Der Wert wird aus dem Feld „WAFAction“ übernommen.
WAFAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFAttackScore“ übernommen.
WAFFlags read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFFlags“ übernommen.
WAFProfile read_only_udm.security_result.about.labels
read_only_udm.security_result.about.resource.attribute.labels		 Der Wert wird aus dem Feld „WAFProfile“ übernommen.
WAFRCEAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFRCEAttackScore“ übernommen.
WAFRuleID read_only_udm.security_result.about.labels
read_only_udm.security_result.about.resource.attribute.labels
read_only_udm.security_result.threat_id		 Der Wert wird aus dem Feld „WAFRuleID“ übernommen.
WAFRuleMessage read_only_udm.security_result.rule_name
read_only_udm.security_result.threat_name		 Der Wert wird aus dem Feld „WAFRuleMessage“ übernommen.
WAFSQLiAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFSQLiAttackScore“ übernommen.
WAFXSSAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFXSSAttackScore“ übernommen.
ZoneID read_only_udm.additional.fields Der Wert wird aus dem Feld „ZoneID“ übernommen.
read_only_udm.metadata.log_type Der Wert ist auf „CLOUDFLARE“ festgelegt.
read_only_udm.metadata.product_name Der Wert wird auf „Cloudflare Gateway DNS“ gesetzt, wenn es sich beim Log um ein DNS-Log handelt, auf „Cloudflare Gateway HTTP“, wenn es sich beim Log um ein Gateway-HTTP-Log handelt, auf „Cloudflare Audit“, wenn es sich beim Log um ein Audit-Log handelt, und andernfalls auf „Web Application Firewall“.
read_only_udm.metadata.vendor_name Der Wert ist auf „Cloudflare“ festgelegt.
read_only_udm.network.application_protocol Der Wert wird auf „DNS“ gesetzt, wenn es sich beim Log um ein DNS-Log handelt, auf „HTTP“, wenn das Feld „HTTPVersion“ „HTTP“ enthält, oder auf den Wert des Felds „Protocol“ in Großbuchstaben, wenn das Feld „Protocol“ nicht leer ist und nicht „tls“ oder „TLS“ enthält.
read_only_udm.network.direction Der Wert wird auf „OUTBOUND“ gesetzt, wenn das Feld „EgressIP“ nicht leer ist.
read_only_udm.network.http.parsed_user_agent Der Wert wird aus dem Feld „UserAgent“ oder „ClientRequestUserAgent“ übernommen und mit dem Filter „parseduseragent“ geparst.
read_only_udm.extensions.auth.type Der Wert wird auf „MACHINE“ festgelegt, wenn das Feld „Action“ den Wert „login“ oder „logout“ hat.
read_only_udm.metadata.event_type Der Wert wird auf „NETWORK_DNS“ festgelegt, wenn es sich beim Log um ein DNS-Log handelt, auf „NETWORK_CONNECTION“, wenn es sich beim Log um ein Gateway-HTTP-Log handelt, auf „USER_RESOURCE_ACCESS“, wenn es sich beim Log um ein Audit-Log handelt und die Felder „ActorIP“ und „ActorEmail“ leer sind, auf „USER_RESOURCE_UPDATE_CONTENT“, wenn es sich beim Log um ein Audit-Log handelt und die Felder „ResourceType“ und „newvalue“ nicht leer sind, auf „USER_LOGIN“, wenn das Feld „Action“ den Wert „login“ hat, auf „USER_LOGOUT“, wenn das Feld „Action“ den Wert „logout“ hat, auf „USER_RESOURCE_ACCESS“, wenn das Feld „Email“ nicht leer ist und dem Format einer E-Mail-Adresse entspricht, oder auf „NETWORK_CONNECTION“, wenn die Felder „EgressIP“ und „SourceIP“ nicht leer sind oder die Felder „OriginIP“ und „SourceIP“ nicht leer sind.
read_only_udm.target.file.mime_type Der Wert wird aus dem Feld „EdgeResponseContentType“ übernommen.
read_only_udm.target.location.country_or_region Der Wert wird aus dem Feld „Land“ übernommen.
read_only_udm.target.resource.id Der Wert wird aus dem Feld „AccountID“ oder „ResourceID“ übernommen.
read_only_udm.target.resource.product_object_id Der Wert wird aus dem Feld „AccountID“, dem Feld „AppUUID“ oder dem Feld „ResourceID“ übernommen.
read_only_udm.target.user.product_object_id Der Wert wird aus dem Feld „OwnerID“ oder „UserUID“ übernommen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten