Cloudflare-Protokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser verarbeitet verschiedene Cloudflare-Logtypen (DNS, HTTP, Audit, Zero Trust, CASB). Dabei werden zuerst gängige Felder normalisiert und dann bedingte Logik basierend auf bestimmten Feldern wie QueryName, Action und ID angewendet, um relevante Daten zu extrahieren und dem UDM zuzuordnen. Außerdem führt er Datentypkonvertierungen, Grok-Abgleiche für IP-Adressen und Hashes durch und verarbeitet verschachtelte JSON-Nutzlast.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für den Zugriff auf Google Cloud IAM.
  • Sie benötigen Berechtigungen für den Zugriff auf Google Cloud Storage.
  • Sie benötigen erhöhte Zugriffsrechte für Cloudflare.

Google Cloud Storage-Bucket erstellen

  1. In der Google Cloud Console anmelden
  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudflare-data).
      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
      1. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.
      2. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.
      2. Wählen Sie im Drop-down-Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
        1. Wenn Sie den Standorttyp Dual-Region auswählen, können Sie auch die Turboreplikation aktivieren, indem Sie das entsprechende Kästchen anklicken.
      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.
    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
  5. Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

  1. Rufen Sie IAM und Verwaltung > Dienstkonten auf.
  2. Erstellen Sie ein neues Dienstkonto.
  3. Geben Sie einen aussagekräftigen Namen für den Datenstream ein, z. B. cloudflare-logs.
  4. Weisen Sie dem Dienstkonto die Rolle Storage Object Creator für den GCS-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
  5. Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
  6. Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Cloudflare IAM für Google Cloud Storage aktivieren

  1. Gehen Sie zu Speicher > Browser > Bucket > Berechtigungen.
  2. Fügen Sie dem Mitglied logpush@cloudflare-data.iam.gserviceaccount.com die Berechtigung Storage-Objekt-Administrator hinzu.

Feed in Google SecOps für die Aufnahme von Cloudflare-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloudflare-Protokolle.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie Cloudflare als Logtyp aus.
  6. Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: URL des Google Cloud Storage-Buckets im Format gs://my-bucket/<value>.
    • URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Cloudflare so konfigurieren, dass Protokolle an Google Cloud Storage gesendet werden

  1. Melden Sie sich im Cloudflare-Dashboard an.
  2. Wählen Sie das Unternehmenskonto oder die Domain (auch als Zone bezeichnet) aus, die Sie mit Logpush verwenden möchten.
  3. Gehen Sie zu Analysen und Protokolle > Logpush.
  4. Wählen Sie den Job Logpush erstellen aus.
  5. Wählen Sie unter Ziel auswählen die Option Google Cloud Storage aus.
  6. Geben Sie die folgenden Zieldetails ein oder wählen Sie sie aus:

    • Bucket: Name des GCS-Buckets
    • Pfad: Speicherort des Buckets im Speichercontainer
    • Kästchen: Logs in tägliche Unterordner organisieren (empfohlen)
  7. Klicken Sie auf Weiter.

  8. Bestätigung der Inhaberschaft:

    1. Cloudflare sendet eine Datei an Ihren Bucket.
    2. Kopieren Sie das Token und fügen Sie es ein:
      1. Melden Sie sich in der Google Cloud Console > Storage > Cloudflare-Bucket an.
      2. Öffnen Sie die Datei mit dem Einspruch gegen die Inhaberschaft.
      3. Kopieren Sie das Inhaberschaftstoken.
      4. Gib das Inhabertoken in der Cloudflare Console ein.
      5. Wählen Sie Weiter aus.
    3. Wählen Sie das Dataset aus, das in den Bucket gesendet werden soll.
  9. Logpush-Job konfigurieren:

    1. Geben Sie den Jobnamen ein.
    2. Unter Wenn Protokolle übereinstimmen können Sie die Ereignisse auswählen, die in die Protokolle aufgenommen und/oder daraus entfernt werden sollen.
    1. Senden Sie die folgenden Felder: Wählen Sie aus, ob alle Protokolle gesendet werden sollen, oder wählen Sie ausgewählte Protokolle aus.
  10. Wählen Sie Senden aus, um die Konfiguration abzuschließen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AccountID target.resource.id, target.resource.product_object_id Die Konto-ID, die mit dem Ereignis verknüpft ist.
Action security_result.action Aktion, die aufgrund des Ereignisses ausgeführt wird. allow oder allowed* ergibt ALLOW. unknown ergibt UNKNOWN_ACTION. Andere Werte führen zu BLOCK. Bei Zugriffsprotokollen wird login mit USER_LOGIN, logout mit USER_LOGOUT und andere Werte mit USER_RESOURCE_ACCESS abgeglichen, wenn eine E-Mail vorhanden ist.
ActionResult security_result.action Wenn true, wird ALLOW zugeordnet. Wenn false, wird BLOCK zugeordnet. Andernfalls wird UNKNOWN_ACTION zugeordnet.
ActionType security_result.description Beschreibung der ausgeführten Aktion.
ActorEmail principal.user.email_addresses E-Mail-Adresse des Akteurs, der das Ereignis initiiert.
ActorID principal.user.product_object_id Die ID des Aktors, der das Ereignis initiiert.
ActorIP principal.ip, principal.asset.ip IP-Adresse des Akteurs, der das Ereignis initiiert.
Allowed security_result.action Wenn true, wird ALLOW zugeordnet. Andernfalls wird BLOCK zugeordnet.
AppDomain target.administrative_domain Domain der Anwendung, die am Ereignis beteiligt ist.
AppUUID target.resource.product_object_id UUID der an dem Ereignis beteiligten Anwendung.
AssetDisplayName principal.asset.attribute.labels.value, wobei „key“ AssetDisplayName ist Der Anzeigename des Assets.
AssetExternalID principal.asset_id (mit dem Präfix „Cloudflare:“) Die externe ID des Assets.
AssetLink principal.url Mit dem Asset verknüpfter Link.
AssetMetadata.agreedToTerms principal.user.attribute.labels.value, wobei „key“ agreedToTerms ist Ob der Nutzer den Nutzungsbedingungen zugestimmt hat.
AssetMetadata.changePasswordAtNextLogin principal.user.attribute.labels.value, wobei „key“ changePasswordAtNextLogin ist Ob der Nutzer sein Passwort bei der nächsten Anmeldung ändern muss.
AssetMetadata.clientId principal.user.userid Client-ID aus den Asset-Metadaten.
AssetMetadata.customerId principal.user.userid Kundennummer aus den Asset-Metadaten.
AssetMetadata.familyName principal.user.last_name Der Nachname des Nutzers aus den Metadaten des Assets.
AssetMetadata.givenName principal.user.first_name Vorname des Nutzers aus den Asset-Metadaten.
AssetMetadata.includeInGlobalAddressList principal.user.attribute.labels.value, wobei „key“ includeInGlobalAddressList ist Gibt an, ob der Nutzer in der globalen Adressliste enthalten ist.
AssetMetadata.ipWhitelisted principal.user.attribute.labels.value, wobei „key“ ipWhitelisted ist Ob die IP-Adresse des Nutzers auf die Zulassungsliste gesetzt ist.
AssetMetadata.isAdmin principal.user.attribute.labels.value, wobei „key“ isAdmin ist Ob der Nutzer ein Administrator ist.
AssetMetadata.isDelegatedAdmin principal.user.attribute.labels.value, wobei „key“ isDelegatedAdmin ist Gibt an, ob der Nutzer ein delegierter Administrator ist.
AssetMetadata.isEnforcedIn2Sv principal.user.attribute.labels.value, wobei „key“ isEnforcedIn2Sv ist Gibt an, ob die Bestätigung in zwei Schritten für den Nutzer erzwungen wird.
AssetMetadata.isEnrolledIn2Sv principal.user.attribute.labels.value, wobei „key“ isEnrolledIn2Sv ist Ob der Nutzer für die Bestätigung in zwei Schritten registriert ist.
AssetMetadata.kind (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
AssetMetadata.lastLoginTime principal.user.attribute.labels.value, wobei „key“ lastLoginTime ist Zeitpunkt der letzten Anmeldung des Nutzers.
AssetMetadata.login principal.user.userid Anmeldename aus den Asset-Metadaten.
AssetMetadata.name.familyName principal.user.last_name Nachname aus den Asset-Metadaten.
AssetMetadata.name.fullName principal.user.user_display_name Vollständiger Name aus den Metadaten des Assets.
AssetMetadata.name.givenName principal.user.first_name Vorname aus den Asset-Metadaten.
AssetMetadata.nativeApp security_result.detection_fields.value, wobei „key“ nativeApp ist Ob es sich um eine native App handelt.
AssetMetadata.owner.id principal.user.userid Inhaber-ID aus den Metadaten des Assets.
AssetMetadata.primaryEmail principal.user.email_addresses Primäre E-Mail-Adresse aus den Asset-Metadaten.
AssetMetadata.scopes (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
AssetMetadata.site_admin principal.user.attribute.labels.value, wobei „key“ site_admin ist Gibt an, ob der Nutzer ein Website-Administrator ist.
AssetMetadata.suspended principal.user.attribute.labels.value, wobei „key“ suspended ist Ob der Nutzer gesperrt ist.
AssetMetadata.url principal.url URL aus den Asset-Metadaten.
AssetMetadata.userKey principal.user.attribute.labels.value, wobei „key“ userKey ist Nutzerschlüssel aus den Asset-Metadaten.
BlockedFileHash target.file.md5, target.file.sha1, target.file.sha256 Hashes der blockierten Datei. Mit Grok geparst, um MD5, SHA1 oder SHA256 zu extrahieren.
BlockedFileName security_result.about.file.full_path Name der blockierten Datei.
BlockedFileReason security_result.summary Grund für die Blockierung der Datei.
BlockedFileSize target.file.size Größe der blockierten Datei.
BotScore security_result.detection_fields.value, wobei „key“ BotScore ist Der der Anfrage zugewiesene Bot-Score.
BytesReceived network.received_bytes Anzahl der empfangenen Byte.
BytesSent network.sent_bytes Anzahl der gesendeten Byte.
CacheCacheStatus additional.fields.value.string_value, wobei „key“ CacheCacheStatus ist Status des Caches.
CacheResponseBytes additional.fields.value.string_value, wobei „key“ CacheResponseBytes ist Anzahl der Byte in der Antwort im Cache.
CacheResponseStatus additional.fields.value.string_value, wobei „key“ CacheResponseStatus ist Statuscode der im Cache gespeicherten Antwort.
ClientASN (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
ClientCountry principal.location.country_or_region Land des Kunden.
ClientDeviceType additional.fields.value.string_value, wobei „key“ ClientDeviceType ist Typ des Clientgeräts.
ClientIP principal.ip, principal.asset.ip IP-Adresse des Clients.
ClientRequestMethod network.http.method Die vom Client verwendete HTTP-Anfragemethode.
ClientRequestHost target.hostname, target.asset.hostname Vom Client angeforderter Hostname.
ClientRequestPath (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
ClientRequestProtocol network.application_protocol In der Clientanfrage verwendetes Protokoll (z.B. HTTP, HTTPS). Die Protokollversion wird entfernt.
ClientRequestReferer network.http.referral_url Referrer-URL der Clientanfrage.
ClientRequestURI target.url (mit ClientRequestHost kombiniert, falls vorhanden) Vom Client angeforderter URI.
ClientRequestUserAgent network.http.user_agent User-Agent der Clientanfrage. Wird auch geparst und network.http.parsed_user_agent zugeordnet.
ClientSSLCipher network.tls.cipher SSL-Chiffre, die vom Client verwendet wird.
ClientSSLProtocol network.tls.version SSL-Protokoll, das vom Client verwendet wird.
ClientSrcPort principal.port Quellport des Clients.
ClientTCPHandshakeDurationMs additional.fields.value.string_value, wobei „key“ ClientTCPHandshakeDurationMs ist Dauer des TCP-Handshakes des Clients.
ClientTLSHandshakeDurationMs additional.fields.value.string_value, wobei „key“ ClientTLSHandshakeDurationMs ist Dauer des Client-TLS-Handshakes.
ClientTLSVersion network.tls.version Die vom Client verwendete TLS-Version.
ColoID (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
Connection target.resource.attribute.labels.value, wobei „key“ Connection ist Verbindungstyp (z. B. saml)
ConnectionCloseReason additional.fields.value.string_value, wobei „key“ ConnectionCloseReason ist Grund für die Schließung der Verbindung.
ConnectionReuse additional.fields.value.string_value, wobei „key“ ConnectionReuse ist Ob die Verbindung wiederverwendet wurde.
Country target.location.country_or_region Das mit dem Ereignis verknüpfte Land.
CreatedAt metadata.event_timestamp Zeitstempel der Ereigniserstellung.
Datetime metadata.event_timestamp Datum und Uhrzeit des Termins.
DestinationIP target.ip, target.asset.ip IP-Adresse des Ziels.
DestinationPort target.port Zielport.
DestinationTunnelID additional.fields.value.string_value, wobei „key“ DestinationTunnelID ist ID des Zieltunnels.
DeviceID principal.asset_id (mit dem Präfix „Cloudflare:“) ID des Geräts.
DeviceName principal.hostname, principal.asset.hostname, principal.asset.attribute.labels.value, wobei DeviceName der Schlüssel ist Name des Geräts.
DownloadedFileNames security_result.about.labels.value, wobei „key“ DownloadFileNames ist Namen der heruntergeladenen Dateien.
DstIP target.ip, target.asset.ip IP-Adresse des Ziels.
DstPort target.port Zielport.
EdgeColoCode additional.fields.value.string_value, wobei „key“ EdgeColoCode ist Cloudflare-Edge-Standortcode.
EdgeColoID additional.fields.value.string_value, wobei „key“ EdgeColoID ist Cloudflare-Edge-Standort-ID.
EdgeEndTimestamp (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
EdgeResponseBytes network.received_bytes Anzahl der Byte in der Antwort vom Edge.
EdgeResponseContentType target.file.mime_type Inhaltstyp der Edge-Antwort.
EdgeResponseStatus network.http.response_code Statuscode der Edge-Antwort.
EdgeServerIP target.ip, target.asset.ip IP-Adresse des Edge-Servers.
EdgeStartTimestamp metadata.event_timestamp Zeitstempel für den Beginn der Anfrage am Edge.
Email principal.user.email_addresses, target.user.email_addresses Die mit dem Ereignis verknüpfte E-Mail-Adresse.
EgressColoName additional.fields.value.string_value, wobei „key“ EgressColoName ist Name des Ausgangs-Rechenzentrums.
EgressIP principal.ip, principal.asset.ip Ausgehende IP-Adresse. Legt network.direction auf OUTBOUND fest.
EgressPort principal.port Ausgangsport
EgressRuleID additional.fields.value.string_value, wobei „key“ EgressRuleID ist ID der ausgehenden Regel.
EgressRuleName additional.fields.value.string_value, wobei „key“ EgressRuleName ist Name der Regel für ausgehenden Traffic.
FindingTypeDisplayName security_result.description Der Anzeigename des Ergebnistyps.
FindingTypeID security_result.rule_id ID des Ergebnistyps.
FindingTypeSeverity security_result.severity Schweregrad des Ergebnistyps.
FirewallMatchesActions security_result.action Aktionen, die von Firewallregeln ausgeführt werden. allow, Allow, ALLOW, skip, SKIP, Skip entsprechen ALLOW. challengeSolved und jschallengeSolved werden ALLOW_WITH_MODIFICATION zugeordnet. drop und block werden BLOCK zugeordnet. Andere Werte werden UNKNOWN_ACTION zugeordnet.
FirewallMatchesRuleIDs security_result.rule_id (für die erste ID) werden mit nachfolgenden IDs neue security_result-Objekte erstellt. IDs der übereinstimmenden Firewallregeln.
FirewallMatchesSources security_result.rule_name Quellen der übereinstimmenden Firewallregeln.
HTTPHost target.hostname HTTP-Host.
HTTPMethod network.http.method HTTP-Methode.
HTTPVersion network.application_protocol Wenn der Wert „HTTP“ enthält, wird network.application_protocol auf HTTP festgelegt.
ID metadata.product_log_id ID des Ereignisses.
IngressColoName additional.fields.value.string_value, wobei „key“ IngressColoName ist Name des Rechenzentrums, in dem sich das Gerät befindet, über das die Daten einfließen.
InstanceID principal.resource.product_object_id ID der Instanz.
IntegrationDisplayName additional.fields.value.string_value, wobei „key“ IntegrationDisplayName ist Anzeigename der Integration.
IntegrationID metadata.product_deployment_id ID der Integration.
IntegrationPolicyVendor additional.fields.value.string_value, wobei „key“ IntegrationPolicyVendor ist Anbieter der Integrationsrichtlinie.
IPAddress target.ip, target.asset.ip IP-Adresse, die mit dem Ereignis verknüpft ist.
IsIsolated about.labels.value, wobei „key“ IsIsolated ist, security_result.about.resource.attribute.labels.value, wobei „key“ IsIsolated ist Ob der Vorfall isoliert ist.
Location principal.location.name Mit dem Ereignis verknüpfter Ort.
NewValue security_result.about.labels.value, wobei „key“ NewValue ist Neuer Wert nach einer Aktualisierung.
Offramp additional.fields.value.string_value, wobei „key“ Offramp ist In der Verbindung verwendete Abfahrt.
OldValue security_result.about.labels.value, wobei „key“ OldValue ist Alter Wert vor einer Aktualisierung.
OriginIP intermediary.ip, target.ip, target.asset.ip IP-Adresse des Ursprungs.
OriginPort target.port Ursprungsport.
OriginResponseBytes additional.fields.value.string_value, wobei „key“ OriginResponseBytes ist Anzahl der Byte in der Ursprungsantwort.
OriginResponseStatus additional.fields.value.string_value, wobei „key“ OriginResponseStatus ist Statuscode der Ursprungsantwort.
OriginResponseTime additional.fields.value.string_value, wobei „key“ OriginResponseTime ist Antwortzeit des Ursprungs.
OriginSSLProtocol (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
OriginTLSCertificateIssuer additional.fields.value.string_value, wobei „key“ OriginTLSCertificateIssuer ist Aussteller des ursprünglichen TLS-Zertifikats.
OriginTLSCertificateValidationResult additional.fields.value.string_value, wobei „key“ OriginTLSCertificateValidationResult ist Ergebnis der Validierung des TLS-Zertifikats des Ursprungs.
OriginTLSCipher additional.fields.value.string_value, wobei „key“ OriginTLSCipher ist Chiffre, die in der TLS-Verbindung des Ursprungs verwendet wird.
OriginTLSHandshakeDurationMs additional.fields.value.string_value, wobei „key“ OriginTLSHandshakeDurationMs ist Dauer des TLS-Handshakes am Ursprung.
OriginTLSVersion additional.fields.value.string_value, wobei „key“ OriginTLSVersion ist TLS-Version, die vom Ursprung verwendet wird.
OwnerID target.user.product_object_id ID des Inhabers.
Policy security_result.rule_name Mit dem Ereignis verknüpfte Richtlinie.
PolicyID security_result.rule_id ID der Richtlinie.
PolicyName security_result.rule_name Name der Richtlinie.
Protocol network.application_protocol, network.ip_protocol Das in der Verbindung verwendete Protokoll. Wenn der Wert nicht „tls“ oder „TLS“ lautet, wird er in Großbuchstaben umgewandelt und network.application_protocol zugeordnet. Andernfalls wird er mit einer Include-Datei geparst und network.ip_protocol zugeordnet.
PurposeJustificationPrompt (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
PurposeJustificationResponse (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
QueryCategoryIDs security_result.about.labels.value, security_result.about.resource.attribute.labels.value, wobei „QueryCategoryIDs“ der Schlüssel ist IDs der Suchanfragekategorien.
QueryName network.dns.questions.name Name der DNS-Abfrage. Legt metadata.event_type auf NETWORK_DNS und network.application_protocol auf DNS fest.
QueryNameReversed network.dns.questions.name Der umgekehrte Name der DNS-Abfrage.
QuerySize network.sent_bytes Größe der Abfrage.
QueryType network.dns.questions.type Der Typ der DNS-Abfrage. Sie werden anhand von DNS-Abfragetypcodes numerischen Werten zugeordnet.
RData network.dns.answers.type, network.dns.answers.data DNS-Eintragsdaten Mit jedem Element im RData-Array wird ein neues answer-Objekt erstellt.
RayID metadata.product_log_id Ray-ID, die mit der Anfrage verknüpft ist.
Referer network.http.referral_url Verweis-URL.
RequestID metadata.product_log_id ID der Anfrage.
ResolverDecision security_result.summary Entscheidung des Resolvers.
ResourceID target.resource.id, target.resource.product_object_id ID der Ressource.
ResourceType target.resource.resource_subtype Der Typ der Ressource.
RuleEvaluationDurationMs additional.fields.value.string_value, wobei „key“ RuleEvaluationDurationMs ist Dauer der Regelauswertung.
SNI network.tls.client.server_name Server Name Indication (SNI) im TLS-Client-Hello
SecurityAction security_result.action Sicherheitsmaßnahme ergriffen. Ein leerer Wert oder kein SecurityAction wird ALLOW zugeordnet. challengeSolved oder jschallengeSolved wird ALLOW_WITH_MODIFICATION zugeordnet. drop oder block wird BLOCK zugeordnet.
SecurityLevel security_result.severity Sicherheitsebene high wird HIGH zugeordnet, med MEDIUM und low LOW.
SessionEndTime additional.fields.value.string_value, wobei „key“ SessionEndTime ist Ende der Sitzung.
SessionID network.session_id ID der Sitzung.
SessionStartTime metadata.event_timestamp Startzeit der Sitzung.
SourceIP principal.ip, principal.asset.ip, src.ip, src.asset.ip IP-Adresse der Quelle.
SourcePort principal.port, src.port Quellport.
SrcIP principal.ip, principal.asset.ip IP-Adresse der Quelle.
SrcPort principal.port Quellport.
TemporaryAccessDuration network.session_duration.seconds Dauer des vorübergehenden Zugriffs.
Timestamp metadata.event_timestamp Zeitstempel des Ereignisses.
Transport network.ip_protocol Transportprotokoll. In Großbuchstaben umgewandelt und mit einer Include-Datei geparst.
UploadedFileNames security_result.about.labels.value, wobei „key“ UploadedFileNames ist Namen der hochgeladenen Dateien.
URL target.url Die URL, die mit dem Ereignis verknüpft ist.
UserAgent network.http.user_agent User-Agent-String. Wird auch geparst und network.http.parsed_user_agent zugeordnet.
UserID principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id ID des Nutzers.
UserUID target.user.product_object_id UID des Nutzers.
VirtualNetworkID principal.resource.product_object_id ID des virtuellen Netzwerks.
WAFAction security_result.about.labels.value, wobei „key“ WAFAction ist Von der Web Application Firewall (WAF) ergriffene Maßnahme.
WAFAttackScore security_result.about.resource.attribute.labels.value, wobei „key“ WAFAttackScore ist Von der WAF zugewiesener Angriffswert.
WAFFlags security_result.about.resource.attribute.labels.value, wobei „key“ WAFFlags ist WAF-Flags
WAFMatchedVar (Nicht zugeordnet) Nicht dem IDM-Objekt zugeordnet.
WAFProfile security_result.about.labels.value, wobei „key“ WAFProfile ist WAF-Profil
WAFRCEAttackScore security_result.about.resource.attribute.labels.value, wobei „key“ WAFRCEAttackScore ist WAF-Bewertung für RCE-Angriffe (Remote Code Execution)
WAFRuleID security_result.threat_id, security_result.about.labels.value, wobei „WAFRuleID“ der Schlüssel ist ID der WAF-Regel.
WAFRuleMessage security_result.rule_name, security_result.threat_name Mit der WAF-Regel verknüpfte Nachricht.
WAFSQLiAttackScore security_result.about.resource.attribute.labels.value, wobei „key“ WAFSQLiAttackScore ist WAF-Bewertung für SQL-Injection-Angriffe.
WAFXSSAttackScore security_result.about.resource.attribute.labels.value, wobei „key“ WAFXSSAttackScore ist WAF-Wert für Cross-Site-Scripting-Angriffe (XSS).
ZoneID additional.fields.value.string_value, wobei „key“ ZoneID ist Zonen-ID.
event.idm.read_only_udm.metadata.event_type metadata.event_type Typ des Ereignisses. Wird vom Parser anhand der Protokolldaten festgelegt. Wenn kein Wert festgelegt ist oder ein NETWORK_DNS-Ereignis kein Hauptkonto oder Ziel hat, wird standardmäßig GENERIC_EVENT verwendet. Kann NETWORK_DNS, NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_RESOURCE_UPDATE_CONTENT oder GENERIC_EVENT sein.
event.idm.read_only_udm.metadata.log_type metadata.log_type Logtyp, festgelegt auf „CLOUDFLARE“
event.idm.read_only_udm.metadata.product_deployment_id metadata.product_deployment_id ID der Produktbereitstellung.
event.idm.read_only_udm.metadata.product_log_id metadata.product_log_id Produktprotokoll-ID.
event.idm.read_only_udm.metadata.product_name metadata.product_name Produktname. Wird vom Parser anhand der Protokolldaten festgelegt. Kann „Cloudflare Gateway DNS“, „Cloudflare Gateway HTTP“, „Cloudflare Audit“ oder „Web Application Firewall“ sein.
event.idm.read_only_udm.metadata.vendor_name metadata.vendor_name Anbietername, festgelegt auf „Cloudflare“.
event.idm.read_only_udm.metadata.event_timestamp metadata.event_timestamp Zeitstempel des Ereignisses.
event.idm.read_only_udm.network.application_protocol network.application_protocol Anwendungsprotokoll, das in der Netzwerkverbindung verwendet wird.
event.idm.read_only_udm.network.direction network.direction Richtung der Netzwerkverbindung. Setzen Sie OUTBOUND, wenn EgressIP und SourceIP vorhanden sind.
event.idm.read_only_udm.network.dns.answers network.dns.answers DNS-Antworten.
event.idm.read_only_udm.network.dns.questions network.dns.questions DNS-Fragen
event.idm.read_only_udm.network.http.method network.http.method HTTP-Methode.
event.idm.read_only_udm.network.http.parsed_user_agent network.http.parsed_user_agent Geparserter User-Agent.
event.idm.read_only_udm.network.http.referral_url network.http.referral_url HTTP-Referrer-URL.
event.idm.read_only_udm.network.http.response_code network.http.response_code HTTP-Antwortcode.
event.idm.read_only_udm.network.http.user_agent network.http.user_agent HTTP-User-Agent.
event.idm.read_only_udm.network.ip_protocol network.ip_protocol IP-Protokoll.
event.idm.read_only_udm.network.received_bytes network.received_bytes Anzahl der empfangenen Byte.
event.idm.read_only_udm.network.sent_bytes network.sent_bytes Anzahl der gesendeten Byte.
event.idm.read_only_udm.network.session_duration.seconds network.session_duration.seconds Dauer der Netzwerksitzung in Sekunden.
event.idm.read_only_udm.network.session_id network.session_id Netzwerksitzungs-ID.
event.idm.read_only_udm.network.tls.cipher network.tls.cipher TLS-Chiffrensammlung.
event.idm.read_only_udm.network.tls.client.server_name network.tls.client.server_name Name des TLS-Client-Servers.
event.idm.read_only_udm.network.tls.version network.tls.version TLS-Version
event.idm.read_only_udm.principal.asset.attribute.labels principal.asset.attribute.labels Labels, die mit dem Haupt-Asset verknüpft sind.
event.idm.read_only_udm.principal.asset.hostname principal.asset.hostname Hostname des Haupt-Assets.
event.idm.read_only_udm.principal.asset.ip principal.asset.ip IP-Adresse des Haupt-Assets.
event.idm.read_only_udm.principal.asset_id principal.asset_id ID des Haupt-Assets.
event.idm.read_only_udm.principal.hostname principal.hostname Hostname des Hauptkontos.
event.idm.read_only_udm.principal.ip principal.ip IP-Adresse des Hauptkontos.
event.idm.read_only_udm.principal.location.country_or_region principal.location.country_or_region Land oder Region des Hauptsitzes des Hauptauftragnehmers.
event.idm.read_only_udm.principal.location.name principal.location.name Name des Standorts des Hauptkontos.
event.idm.read_only_udm.principal.port principal.port Vom Hauptkonto verwendeter Port.
event.idm.read_only_udm.principal.resource.product_object_id principal.resource.product_object_id Die Produktobjekt-ID der Ressource des Hauptkontos.
event.idm.read_only_udm.principal.url principal.url Mit dem Hauptberechtigten verknüpfte URL.
event.idm.read_only_udm.principal.user.attribute.labels principal.user.attribute.labels Mit dem Hauptnutzer verknüpfte Labels.
event.idm.read_only_udm.principal.user.email_addresses principal.user.email_addresses E-Mail-Adressen des Hauptnutzers.
event.idm.read_only_udm.principal.user.first_name principal.user.first_name Vorname des Hauptnutzers.
event.idm.read_only_udm.principal.user.last_name principal.user.last_name Nachname des Hauptnutzers.
event.idm.read_only_udm.principal.user.product_object_id principal.user.product_object_id Produktobjekt-ID des Hauptnutzers.
event.idm.read_only_udm.principal.user.userid principal.user.userid Nutzer-ID des Hauptnutzers.
event.idm.read_only_udm.principal.user.user_display_name principal.user.user_display_name Anzeigename des Hauptnutzers.
event.idm.read_only_udm.src.asset.ip src.asset.ip IP-Adresse des Quell-Assets.
event.idm.read_only_udm.src.ip src.ip IP-Adresse der Quelle.
event.idm.read_only_udm.src.port src.port Port der Quelle.
event.idm.read_only_udm.target.administrative_domain target.administrative_domain Verwaltungsdomain des Ziels.
event.idm.read_only_udm.target.asset.hostname target.asset.hostname Hostname des Ziel-Assets.
event.idm.read_only_udm.target.asset.ip target.asset.ip IP-Adresse des Ziel-Assets.
event.idm.read_only_udm.target.file.mime_type target.file.mime_type MIME-Typ der Zieldatei.
event.idm.read_only_udm.target.file.md5 target.file.md5 MD5-Hash der Zieldatei.
event.idm.read_only_udm.target.file.sha1 target.file.sha1 SHA1-Hash der Zieldatei.
event.idm.read_only_udm.target.file.sha256 target.file.sha256 SHA256-Hash der Zieldatei.
event.idm.read_only_udm.target.file.size target.file.size Größe der Zieldatei.
event.idm.read_only_udm.target.hostname target.hostname Hostname des Ziels.
event.idm.read_only_udm.target.ip target.ip IP-Adresse des Ziels.
event.idm.read_only_udm.target.location.country_or_region target.location.country_or_region Land oder Region des Ziels.
event.idm.read_only_udm.target.port target.port Port des Ziels.
event.idm.read_only_udm.target.resource.attribute.labels target.resource.attribute.labels Mit der Zielressource verknüpfte Labels.
event.idm.read_only_udm.target.resource.id target.resource.id ID der Zielressource.
event.idm.read_only_udm.target.resource.product_object_id target.resource.product_object_id Die Produktobjekt-ID der Zielressource.
event.idm.read_only_udm.target.resource.resource_subtype target.resource.resource_subtype Ressourcenuntertyp der Zielressource.
event.idm.read_only_udm.target.url target.url URL des Ziels.
event.idm.read_only_udm.target.user.email_addresses target.user.email_addresses E-Mail-Adressen der Zielnutzer.
event.idm.read_only_udm.target.user.product_object_id target.user.product_object_id Produktobjekt-ID des Zielnutzers.
event.idm.read_only_udm.security_result.about.file.full_path security_result.about.file.full_path Vollständiger Pfad der Datei, die mit dem Sicherheitsergebnis verknüpft ist.
event.idm.read_only_udm.security_result.about.labels security_result.about.labels Labels, die mit dem Sicherheitsergebnis verknüpft sind.
event.idm.read_only_udm.security_result.about.resource.attribute.labels security_result.about.resource.attribute.labels Labels, die mit der Ressource im Sicherheitsergebnis verknüpft sind.
event.idm.read_only_udm.security_result.action security_result.action Im Sicherheitsergebnis ergriffene Maßnahme.
event.idm.read_only_udm.security_result.detection_fields security_result.detection_fields Erkennungsfelder im Sicherheitsergebnis
event.idm.read_only_udm.security_result.description security_result.description Beschreibung des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.rule_id security_result.rule_id Regel-ID des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.rule_name security_result.rule_name Regelname des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.severity security_result.severity Schwere des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.summary security_result.summary Zusammenfassung des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.threat_id security_result.threat_id Die Bedrohungs-ID des Sicherheitsergebnisses.
event.idm.read_only_udm.security_result.threat_name security_result.threat_name Der Name der Bedrohung des Sicherheitsergebnisses.
event.idm.read_only_udm.extensions.auth.type extensions.auth.type Authentifizierungstyp. Legen Sie für Anmelde- und Abmeldeereignisse MACHINE fest.
event.idm.read_only_udm.about about Informationen zu
event.idm.read_only_udm.additional.fields additional.fields Zusätzliche Felder
event.idm.read_only_udm.intermediary intermediary Informationen zum Vermittler

Änderungen

2024-02-19

  • Fehlerkorrektur:
  • Wenn keine Daten zu Haupt- und Zielcomputer vorhanden sind, wird „metadata.event_type“ mit „GENERIC_EVENT“ abgeglichen.
  • Wenn das Feld „Datum/Uhrzeit“ fehlt und das Feld „Zeitstempel“ vorhanden ist, wird „Zeitstempel“ mit „metadata.event_timestamp“ abgeglichen.
  • „ClientIP“ wurde auf „principal.ip“ zugeordnet.
  • „RayID“ wurde auf „metadata.product_log_id“ zugeordnet.
  • „EdgeResponseStatus“ wurde in „network.http.response_code“ geändert.
  • „ClientRequestMethod“ wurde auf „network.http.method“ zugeordnet.
  • „ClientRequestURI“ wurde „target.uri“ zugeordnet.
  • „ClientRequestHost“ wurde auf „target.hostname“ zugeordnet.

2024-01-31

  • „BotScore“ wurde zu „security_result.detection_fields“ zugeordnet.
  • Die Zuordnungen „principal.hostname“, „target.hostname“, „principal.asset.hostname“ und „target.asset.hostname“ wurden angeglichen.
  • Die Zuordnungen „principal.ip“, „target.ip“, „principal.asset.ip“ und „target.asset.ip“ wurden angeglichen.

2024-01-08

  • Wenn „Action“ „allow“ enthält, legen Sie „security_result.action“ auf „ALLOW“ fest.
  • Zuordnung von „DeviceName“ zu „principal.hostname“ und „principal.asset.hostname“ hinzugefügt.
  • Zuordnung von „SourceIP“ zu „principal.ip“ für DNS-Protokolle hinzugefügt.
  • Es wurde eine bedingte Nullprüfung hinzugefügt, bevor „principal“ mit „event.idm.read_only_udm.principal“ abgeglichen wird.
  • Es wurde eine bedingte Nullprüfung hinzugefügt, bevor „target“ mit „event.idm.read_only_udm.target“ abgeglichen wird.

2023-11-22

  • „WAFRuleID“ wurde „security_result.threat_id“ zugeordnet.
  • „WAFRuleMessage“ wurde „security_result.threat_name“ zugeordnet.
  • „WAFRCEAttackScore“, „WAFSQLiAttackScore“, „WAFXSSAttackScore“, „WAFAttackScore“ und „WAFFlags“ wurden in „security_result.about.resource.attribute.labels“ umgewandelt.

2023-10-09

  • Wenn der Wert „SecurityAction“ null ist oder nicht vorhanden ist, legen Sie „security_result.action“ auf „ALLOW“ fest.

2023-09-26

  • Die Zuordnungen wurden von veralteten UDM-Feldern auf alternative Felder umgestellt.
  • Zuordnung von „security_result.about.labels“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
  • Zuordnung von „about.labels“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
  • Zuordnung von „target.resource.id“ zu „target.resource.product_object_id“ hinzugefügt.

2023-04-25

  • Die folgenden Rohlogsfelder wurden UDM-Feldern zugeordnet:
  • „EdgeStartTimestamp“, „ClientIP“, „ClientRequestHost“, „ClientRequestURI“, „ClientRequestMethod“, „Datum/Uhrzeit“, „ActorEmail“ und „ActorIP“ wurden auf „null“ initialisiert.
  • „AssetExternalID“ wurde „principal.asset_id“ zugeordnet.
  • „AssetDisplayName“ wurde „principal.asset.attribute.labels“ zugeordnet.
  • „AssetLink“ wurde mit „principal.url“ verknüpft.
  • „AssetMetadata.userKey“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.clientId“ wurde auf „principal.user.userid“ zugeordnet.
  • „AssetMetadata.anonymous“ wurde in „security_result.detection_fields“ geändert.
  • „AssetMetadata.nativeApp“ wurde in „security_result.detection_fields“ umgewandelt.
  • „DetectedTimestamp“ wurde zu „metadata.event_timestamp“ zugeordnet.
  • „FindingTypeDisplayName“ wurde auf „security_result.description“ zugeordnet.
  • „FindingTypeID“ wurde auf „security_result.rule_id“ zugeordnet.
  • „FindingTypeSeverity“ wurde in „security_result.severity“ geändert.
  • „InstanceID“ wurde „principal.resource.product_object_id“ zugeordnet.
  • „IntegrationDisplayName“ wurde „additional.fields“ zugeordnet.
  • „IntegrationID“ wurde auf „metadata.product_deployment_id“ zugeordnet.
  • „IntegrationPolicyVendor“ wurde auf „additional.fields“ zugeordnet.
  • „AssetMetadata.customerId“ wurde auf „principal.user.userid“ zugeordnet.
  • „AssetMetadata.primaryEmail“ wurde auf „principal.user.email_addresses“ zugeordnet.
  • „AssetMetadata.agreedToTerms“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.ipWhitelisted“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.lastLoginTime“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.isEnforcedIn2Sv“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.isEnrolledIn2Sv“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.isDelegatedAdmin“ wurde auf „principal.user.attribute.labels“ zugeordnet.
  • „AssetMetadata.changePasswordAtNextLogin“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.includeInGlobalAddressList“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.isAdmin“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.suspended“ wurde auf „principal.user.attribute.labels“ zugeordnet.
  • „AssetMetadata.url“ wurde „principal.url“ zugeordnet.
  • „AssetMetadata.site_admin“ wurde in „principal.user.attribute.labels“ geändert.
  • „AssetMetadata.login“ wurde „principal.user.userid“ zugeordnet.
  • „AssetMetadata.owner.id“ wurde mit „principal.user.userid“ verknüpft.
  • „AssetMetadata.name.fullName“ wurde in „principal.user.user_display_name“ umgewandelt.
  • „AssetMetadata.name.givenName“ wurde in „principal.user.first_name“ geändert.
  • „AssetMetadata.name.familyName“ wurde „principal.user.last_name“ zugeordnet.
  • „Zugelassen“ wurde „security_result.action“ zugeordnet.
  • „AppDomain“ wurde „target.administrative_domain“ zugeordnet.
  • „AppUUID“ wurde „target.resource.product_object_id“ zugeordnet.
  • „Verbindung“ wurde mit „target.resource.attribute.labels“ verknüpft.
  • „Land“ wurde „target.location.country_or_region“ zugeordnet.
  • „CreatedAt“ wurde auf „metadata.event_timestamp“ zugeordnet.
  • „IPAddress“ wurde „target.ip“ zugeordnet.
  • „RayID“ wurde auf „metadata.product_log_id“ zugeordnet.
  • „E-Mail“ wurde „principal.user.email_addresses“ und „target.user.email_addresses“ zugeordnet.
  • „TemporaryAccessDuration“ wurde zu „network.session_duration.seconds“ zugeordnet.
  • „UserUID“ wurde „target.user.product_object_id“ zugeordnet.
  • „UserAgent“ wurde in „network.http.parsed_user_agent“ umgewandelt.
  • „ClientRequestUserAgent“ wurde in „network.http.parsed_user_agent“ geändert.
  • „PolicyName“ wurde auf „security_result.rule_name“ zugeordnet.
  • „SessionID“ wurde „network.session_id“ zugeordnet.
  • „Transport“ wurde auf „network.ip_protocol“ umgestellt.
  • „SNI“ wurde „tls.client.server_name“ zugeordnet.
  • „DeviceName“ wurde in „principal.asset.attribute.labels“ geändert.
  • „BytesReceived“ wurde in „network.received_bytes“ geändert.
  • „BytesSent“ wurde in „network.sent_bytes“ geändert.
  • „Protokoll“ wurde auf „network.ip_protocol“ umgestellt.
  • „ClientTCPHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
  • „ClientTLSCipher“ wurde „network.tls.cipher“ zugeordnet.
  • „ClientTLSHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
  • „ClientTLSVersion“ wurde in „network.tls.version“ geändert.
  • „ConnectionCloseReason“ wurde „additional.fields“ zugeordnet.
  • „ConnectionReuse“ wurde in „additional.fields“ geändert.
  • „DestinationTunnelID“ wurde „additional.fields“ zugeordnet.
  • „EgressIP“ wurde auf „principal.ip“ zugeordnet.
  • „EgressPort“ wurde auf „principal.port“ zugeordnet.
  • „EgressRuleID“ wurde auf „additional.fields“ zugeordnet.
  • „EgressRuleName“ wurde „additional.fields“ zugeordnet.
  • „IngressColoName“ wurde „additional.fields“ zugeordnet.
  • „Offramp“ wurde „additional.fields“ zugeordnet.
  • „OriginIP“ wurde „target.ip“ zugeordnet.
  • „OriginPort“ wurde auf „target.port“ zugeordnet.
  • „OriginTLSCertificateIssuer“ wurde „additional.fields“ zugeordnet.
  • „OriginTLSCertificateValidationResult“ wurde „additional.fields“ zugeordnet.
  • „OriginTLSCipher“ wurde „additional.fields“ zugeordnet.
  • „OriginTLSHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
  • „OriginTLSVersion“ wurde „additional.fields“ zugeordnet.
  • „RuleEvaluationDurationMs“ wurde „additional.fields“ zugeordnet.
  • „SessionEndTime“ wurde „additional.fields“ zugeordnet.
  • „SessionStartTime“ wurde in „metadata.event_timestamp“ umgewandelt.
  • „SourceIP“ wurde in „src.ip“ geändert.
  • „SourcePort“ wurde in „src.port“ geändert.
  • „UserID“ wurde auf „principal.user.product_object_id“ zugeordnet.
  • „VirtualNetworkID“ wurde auf „principal.resource.product_object_id“ zugeordnet.

2023-04-06

  • Verbesserung: Die Felder „WAFRuleMessage“, „WAFAction“, „QueryType“, „RayID“ und „Email“ wurden auf globaler Ebene deklariert.
  • „metadata.event_type“ wurde als „NETWORK_UNCATEGORIZED“ zugeordnet, wobei die Felder „QueryName“ und „QueryNameReversed“ den Wert „null“ haben.
  • Es wurden Fehlerprüfungen für die folgenden Felder hinzugefügt: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
  • Stringkonvertierung für die Felder „SourcePort“ und „DestinationPort“ hinzugefügt.

2022-10-10

  • Optimierung
  • „metadata.product_name“ wurde „Web Application Firewall“ zugeordnet.
  • „metadata.vendor_name“ wurde „Cloudflare“ zugeordnet.

2022-05-23

  • Die folgenden Elemente aus Rohlogs wurden UDM-Elementen zugeordnet:
  • „ClientASN“ wurde „network.asn“ zugeordnet.
  • „ClientSSLCipher“ wurde „network.tls.cipher“ zugeordnet.
  • „ClientSSLProtocol“ wurde in „network.tls.version“ geändert.
  • „EdgeResponseContentType“ wurde in „target.file.mime_type“ umgewandelt.
  • „OriginIP“ wurde „intermediary.ip“ zugeordnet.
  • „FirewallMatchesActions“ wurde in „security_result.action“ geändert.
  • „FirewallMatchesRuleIDs“ wurde in „security_result.rule_id“ umgewandelt.
  • „FirewallMatchesSources“ wurde in „security_result.rule_name“ geändert.
  • „WAFRuleID“ und „WAFProfile“ wurden auf „security_result.about.labels“ zugeordnet.
  • „CacheCacheStatus“, „CacheResponseBytes“, „CacheResponseStatus“, „ClientDeviceType“, „EdgeColoCode“, „EdgeColoID“, „OriginResponseBytes“, „OriginResponseStatus“, „OriginResponseTime“, „ZoneID“ wurden in „additional.fields“ umgewandelt.