Cloudflare-Protokolle erfassen
Übersicht
Dieser Parser verarbeitet verschiedene Cloudflare-Logtypen (DNS, HTTP, Audit, Zero Trust, CASB). Dabei werden zuerst gängige Felder normalisiert und dann bedingte Logik basierend auf bestimmten Feldern wie QueryName, Action und ID angewendet, um relevante Daten zu extrahieren und dem UDM zuzuordnen. Außerdem führt er Datentypkonvertierungen, Grok-Abgleiche für IP-Adressen und Hashes durch und verarbeitet verschachtelte JSON-Nutzlast.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Berechtigungen für den Zugriff auf Google Cloud IAM.
- Sie benötigen Berechtigungen für den Zugriff auf Google Cloud Storage.
- Sie benötigen erhöhte Zugriffsrechte für Cloudflare.
Google Cloud Storage-Bucket erstellen
- In der Google Cloud Console anmelden
Rufen Sie die Seite Cloud Storage-Buckets auf.
Klicken Sie auf Erstellen.
Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:
Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:
- Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudflare-data).
- Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
- Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.
- Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
Gehen Sie im Bereich Speicherort für Daten auswählen so vor:
- Standorttyp auswählen.
- Wählen Sie im Drop-down-Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
- Wenn Sie den Standorttyp Dual-Region auswählen, können Sie auch die Turboreplikation aktivieren, indem Sie das entsprechende Kästchen anklicken.
- Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.
Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.
Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:
- Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
- Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
Klicken Sie auf Erstellen.
Google Cloud-Dienstkonto erstellen
- Rufen Sie IAM und Verwaltung > Dienstkonten auf.
- Erstellen Sie ein neues Dienstkonto.
- Geben Sie einen aussagekräftigen Namen für den Datenstream ein, z. B. cloudflare-logs.
- Weisen Sie dem Dienstkonto die Rolle Storage Object Creator für den GCS-Bucket zu, den Sie im vorherigen Schritt erstellt haben.
- Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
- Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.
Cloudflare IAM für Google Cloud Storage aktivieren
- Gehen Sie zu Speicher > Browser > Bucket > Berechtigungen.
- Fügen Sie dem Mitglied
logpush@cloudflare-data.iam.gserviceaccount.com
die Berechtigung Storage-Objekt-Administrator hinzu.
Feed in Google SecOps für die Aufnahme von Cloudflare-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloudflare-Protokolle.
- Wählen Sie Google Cloud Storage als Quelltyp aus.
- Wählen Sie Cloudflare als Logtyp aus.
- Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage Bucket-URI: URL des Google Cloud Storage-Buckets im Format
gs://my-bucket/<value>
. - URI ist ein: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
- Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- Storage Bucket-URI: URL des Google Cloud Storage-Buckets im Format
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Cloudflare so konfigurieren, dass Protokolle an Google Cloud Storage gesendet werden
- Melden Sie sich im Cloudflare-Dashboard an.
- Wählen Sie das Unternehmenskonto oder die Domain (auch als Zone bezeichnet) aus, die Sie mit Logpush verwenden möchten.
- Gehen Sie zu Analysen und Protokolle > Logpush.
- Wählen Sie den Job Logpush erstellen aus.
- Wählen Sie unter Ziel auswählen die Option Google Cloud Storage aus.
Geben Sie die folgenden Zieldetails ein oder wählen Sie sie aus:
- Bucket: Name des GCS-Buckets
- Pfad: Speicherort des Buckets im Speichercontainer
- Kästchen: Logs in tägliche Unterordner organisieren (empfohlen)
Klicken Sie auf Weiter.
Bestätigung der Inhaberschaft:
- Cloudflare sendet eine Datei an Ihren Bucket.
- Kopieren Sie das Token und fügen Sie es ein:
- Melden Sie sich in der Google Cloud Console > Storage > Cloudflare-Bucket an.
- Öffnen Sie die Datei mit dem Einspruch gegen die Inhaberschaft.
- Kopieren Sie das Inhaberschaftstoken.
- Gib das Inhabertoken in der Cloudflare Console ein.
- Wählen Sie Weiter aus.
- Wählen Sie das Dataset aus, das in den Bucket gesendet werden soll.
Logpush-Job konfigurieren:
- Geben Sie den Jobnamen ein.
- Unter Wenn Protokolle übereinstimmen können Sie die Ereignisse auswählen, die in die Protokolle aufgenommen und/oder daraus entfernt werden sollen.
- Senden Sie die folgenden Felder: Wählen Sie aus, ob alle Protokolle gesendet werden sollen, oder wählen Sie ausgewählte Protokolle aus.
Wählen Sie Senden aus, um die Konfiguration abzuschließen.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
AccountID |
target.resource.id , target.resource.product_object_id |
Die Konto-ID, die mit dem Ereignis verknüpft ist. |
Action |
security_result.action |
Aktion, die aufgrund des Ereignisses ausgeführt wird. allow oder allowed* ergibt ALLOW . unknown ergibt UNKNOWN_ACTION . Andere Werte führen zu BLOCK . Bei Zugriffsprotokollen wird login mit USER_LOGIN , logout mit USER_LOGOUT und andere Werte mit USER_RESOURCE_ACCESS abgeglichen, wenn eine E-Mail vorhanden ist. |
ActionResult |
security_result.action |
Wenn true , wird ALLOW zugeordnet. Wenn false , wird BLOCK zugeordnet. Andernfalls wird UNKNOWN_ACTION zugeordnet. |
ActionType |
security_result.description |
Beschreibung der ausgeführten Aktion. |
ActorEmail |
principal.user.email_addresses |
E-Mail-Adresse des Akteurs, der das Ereignis initiiert. |
ActorID |
principal.user.product_object_id |
Die ID des Aktors, der das Ereignis initiiert. |
ActorIP |
principal.ip , principal.asset.ip |
IP-Adresse des Akteurs, der das Ereignis initiiert. |
Allowed |
security_result.action |
Wenn true , wird ALLOW zugeordnet. Andernfalls wird BLOCK zugeordnet. |
AppDomain |
target.administrative_domain |
Domain der Anwendung, die am Ereignis beteiligt ist. |
AppUUID |
target.resource.product_object_id |
UUID der an dem Ereignis beteiligten Anwendung. |
AssetDisplayName |
principal.asset.attribute.labels.value , wobei „key“ AssetDisplayName ist |
Der Anzeigename des Assets. |
AssetExternalID |
principal.asset_id (mit dem Präfix „Cloudflare:“) |
Die externe ID des Assets. |
AssetLink |
principal.url |
Mit dem Asset verknüpfter Link. |
AssetMetadata.agreedToTerms |
principal.user.attribute.labels.value , wobei „key“ agreedToTerms ist |
Ob der Nutzer den Nutzungsbedingungen zugestimmt hat. |
AssetMetadata.changePasswordAtNextLogin |
principal.user.attribute.labels.value , wobei „key“ changePasswordAtNextLogin ist |
Ob der Nutzer sein Passwort bei der nächsten Anmeldung ändern muss. |
AssetMetadata.clientId |
principal.user.userid |
Client-ID aus den Asset-Metadaten. |
AssetMetadata.customerId |
principal.user.userid |
Kundennummer aus den Asset-Metadaten. |
AssetMetadata.familyName |
principal.user.last_name |
Der Nachname des Nutzers aus den Metadaten des Assets. |
AssetMetadata.givenName |
principal.user.first_name |
Vorname des Nutzers aus den Asset-Metadaten. |
AssetMetadata.includeInGlobalAddressList |
principal.user.attribute.labels.value , wobei „key“ includeInGlobalAddressList ist |
Gibt an, ob der Nutzer in der globalen Adressliste enthalten ist. |
AssetMetadata.ipWhitelisted |
principal.user.attribute.labels.value , wobei „key“ ipWhitelisted ist |
Ob die IP-Adresse des Nutzers auf die Zulassungsliste gesetzt ist. |
AssetMetadata.isAdmin |
principal.user.attribute.labels.value , wobei „key“ isAdmin ist |
Ob der Nutzer ein Administrator ist. |
AssetMetadata.isDelegatedAdmin |
principal.user.attribute.labels.value , wobei „key“ isDelegatedAdmin ist |
Gibt an, ob der Nutzer ein delegierter Administrator ist. |
AssetMetadata.isEnforcedIn2Sv |
principal.user.attribute.labels.value , wobei „key“ isEnforcedIn2Sv ist |
Gibt an, ob die Bestätigung in zwei Schritten für den Nutzer erzwungen wird. |
AssetMetadata.isEnrolledIn2Sv |
principal.user.attribute.labels.value , wobei „key“ isEnrolledIn2Sv ist |
Ob der Nutzer für die Bestätigung in zwei Schritten registriert ist. |
AssetMetadata.kind |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
AssetMetadata.lastLoginTime |
principal.user.attribute.labels.value , wobei „key“ lastLoginTime ist |
Zeitpunkt der letzten Anmeldung des Nutzers. |
AssetMetadata.login |
principal.user.userid |
Anmeldename aus den Asset-Metadaten. |
AssetMetadata.name.familyName |
principal.user.last_name |
Nachname aus den Asset-Metadaten. |
AssetMetadata.name.fullName |
principal.user.user_display_name |
Vollständiger Name aus den Metadaten des Assets. |
AssetMetadata.name.givenName |
principal.user.first_name |
Vorname aus den Asset-Metadaten. |
AssetMetadata.nativeApp |
security_result.detection_fields.value , wobei „key“ nativeApp ist |
Ob es sich um eine native App handelt. |
AssetMetadata.owner.id |
principal.user.userid |
Inhaber-ID aus den Metadaten des Assets. |
AssetMetadata.primaryEmail |
principal.user.email_addresses |
Primäre E-Mail-Adresse aus den Asset-Metadaten. |
AssetMetadata.scopes |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
AssetMetadata.site_admin |
principal.user.attribute.labels.value , wobei „key“ site_admin ist |
Gibt an, ob der Nutzer ein Website-Administrator ist. |
AssetMetadata.suspended |
principal.user.attribute.labels.value , wobei „key“ suspended ist |
Ob der Nutzer gesperrt ist. |
AssetMetadata.url |
principal.url |
URL aus den Asset-Metadaten. |
AssetMetadata.userKey |
principal.user.attribute.labels.value , wobei „key“ userKey ist |
Nutzerschlüssel aus den Asset-Metadaten. |
BlockedFileHash |
target.file.md5 , target.file.sha1 , target.file.sha256 |
Hashes der blockierten Datei. Mit Grok geparst, um MD5, SHA1 oder SHA256 zu extrahieren. |
BlockedFileName |
security_result.about.file.full_path |
Name der blockierten Datei. |
BlockedFileReason |
security_result.summary |
Grund für die Blockierung der Datei. |
BlockedFileSize |
target.file.size |
Größe der blockierten Datei. |
BotScore |
security_result.detection_fields.value , wobei „key“ BotScore ist |
Der der Anfrage zugewiesene Bot-Score. |
BytesReceived |
network.received_bytes |
Anzahl der empfangenen Byte. |
BytesSent |
network.sent_bytes |
Anzahl der gesendeten Byte. |
CacheCacheStatus |
additional.fields.value.string_value , wobei „key“ CacheCacheStatus ist |
Status des Caches. |
CacheResponseBytes |
additional.fields.value.string_value , wobei „key“ CacheResponseBytes ist |
Anzahl der Byte in der Antwort im Cache. |
CacheResponseStatus |
additional.fields.value.string_value , wobei „key“ CacheResponseStatus ist |
Statuscode der im Cache gespeicherten Antwort. |
ClientASN |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
ClientCountry |
principal.location.country_or_region |
Land des Kunden. |
ClientDeviceType |
additional.fields.value.string_value , wobei „key“ ClientDeviceType ist |
Typ des Clientgeräts. |
ClientIP |
principal.ip , principal.asset.ip |
IP-Adresse des Clients. |
ClientRequestMethod |
network.http.method |
Die vom Client verwendete HTTP-Anfragemethode. |
ClientRequestHost |
target.hostname , target.asset.hostname |
Vom Client angeforderter Hostname. |
ClientRequestPath |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
ClientRequestProtocol |
network.application_protocol |
In der Clientanfrage verwendetes Protokoll (z.B. HTTP, HTTPS). Die Protokollversion wird entfernt. |
ClientRequestReferer |
network.http.referral_url |
Referrer-URL der Clientanfrage. |
ClientRequestURI |
target.url (mit ClientRequestHost kombiniert, falls vorhanden) |
Vom Client angeforderter URI. |
ClientRequestUserAgent |
network.http.user_agent |
User-Agent der Clientanfrage. Wird auch geparst und network.http.parsed_user_agent zugeordnet. |
ClientSSLCipher |
network.tls.cipher |
SSL-Chiffre, die vom Client verwendet wird. |
ClientSSLProtocol |
network.tls.version |
SSL-Protokoll, das vom Client verwendet wird. |
ClientSrcPort |
principal.port |
Quellport des Clients. |
ClientTCPHandshakeDurationMs |
additional.fields.value.string_value , wobei „key“ ClientTCPHandshakeDurationMs ist |
Dauer des TCP-Handshakes des Clients. |
ClientTLSHandshakeDurationMs |
additional.fields.value.string_value , wobei „key“ ClientTLSHandshakeDurationMs ist |
Dauer des Client-TLS-Handshakes. |
ClientTLSVersion |
network.tls.version |
Die vom Client verwendete TLS-Version. |
ColoID |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
Connection |
target.resource.attribute.labels.value , wobei „key“ Connection ist |
Verbindungstyp (z. B. saml) |
ConnectionCloseReason |
additional.fields.value.string_value , wobei „key“ ConnectionCloseReason ist |
Grund für die Schließung der Verbindung. |
ConnectionReuse |
additional.fields.value.string_value , wobei „key“ ConnectionReuse ist |
Ob die Verbindung wiederverwendet wurde. |
Country |
target.location.country_or_region |
Das mit dem Ereignis verknüpfte Land. |
CreatedAt |
metadata.event_timestamp |
Zeitstempel der Ereigniserstellung. |
Datetime |
metadata.event_timestamp |
Datum und Uhrzeit des Termins. |
DestinationIP |
target.ip , target.asset.ip |
IP-Adresse des Ziels. |
DestinationPort |
target.port |
Zielport. |
DestinationTunnelID |
additional.fields.value.string_value , wobei „key“ DestinationTunnelID ist |
ID des Zieltunnels. |
DeviceID |
principal.asset_id (mit dem Präfix „Cloudflare:“) |
ID des Geräts. |
DeviceName |
principal.hostname , principal.asset.hostname , principal.asset.attribute.labels.value , wobei DeviceName der Schlüssel ist |
Name des Geräts. |
DownloadedFileNames |
security_result.about.labels.value , wobei „key“ DownloadFileNames ist |
Namen der heruntergeladenen Dateien. |
DstIP |
target.ip , target.asset.ip |
IP-Adresse des Ziels. |
DstPort |
target.port |
Zielport. |
EdgeColoCode |
additional.fields.value.string_value , wobei „key“ EdgeColoCode ist |
Cloudflare-Edge-Standortcode. |
EdgeColoID |
additional.fields.value.string_value , wobei „key“ EdgeColoID ist |
Cloudflare-Edge-Standort-ID. |
EdgeEndTimestamp |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
EdgeResponseBytes |
network.received_bytes |
Anzahl der Byte in der Antwort vom Edge. |
EdgeResponseContentType |
target.file.mime_type |
Inhaltstyp der Edge-Antwort. |
EdgeResponseStatus |
network.http.response_code |
Statuscode der Edge-Antwort. |
EdgeServerIP |
target.ip , target.asset.ip |
IP-Adresse des Edge-Servers. |
EdgeStartTimestamp |
metadata.event_timestamp |
Zeitstempel für den Beginn der Anfrage am Edge. |
Email |
principal.user.email_addresses , target.user.email_addresses |
Die mit dem Ereignis verknüpfte E-Mail-Adresse. |
EgressColoName |
additional.fields.value.string_value , wobei „key“ EgressColoName ist |
Name des Ausgangs-Rechenzentrums. |
EgressIP |
principal.ip , principal.asset.ip |
Ausgehende IP-Adresse. Legt network.direction auf OUTBOUND fest. |
EgressPort |
principal.port |
Ausgangsport |
EgressRuleID |
additional.fields.value.string_value , wobei „key“ EgressRuleID ist |
ID der ausgehenden Regel. |
EgressRuleName |
additional.fields.value.string_value , wobei „key“ EgressRuleName ist |
Name der Regel für ausgehenden Traffic. |
FindingTypeDisplayName |
security_result.description |
Der Anzeigename des Ergebnistyps. |
FindingTypeID |
security_result.rule_id |
ID des Ergebnistyps. |
FindingTypeSeverity |
security_result.severity |
Schweregrad des Ergebnistyps. |
FirewallMatchesActions |
security_result.action |
Aktionen, die von Firewallregeln ausgeführt werden. allow , Allow , ALLOW , skip , SKIP , Skip entsprechen ALLOW . challengeSolved und jschallengeSolved werden ALLOW_WITH_MODIFICATION zugeordnet. drop und block werden BLOCK zugeordnet. Andere Werte werden UNKNOWN_ACTION zugeordnet. |
FirewallMatchesRuleIDs |
security_result.rule_id (für die erste ID) werden mit nachfolgenden IDs neue security_result -Objekte erstellt. |
IDs der übereinstimmenden Firewallregeln. |
FirewallMatchesSources |
security_result.rule_name |
Quellen der übereinstimmenden Firewallregeln. |
HTTPHost |
target.hostname |
HTTP-Host. |
HTTPMethod |
network.http.method |
HTTP-Methode. |
HTTPVersion |
network.application_protocol |
Wenn der Wert „HTTP“ enthält, wird network.application_protocol auf HTTP festgelegt. |
ID |
metadata.product_log_id |
ID des Ereignisses. |
IngressColoName |
additional.fields.value.string_value , wobei „key“ IngressColoName ist |
Name des Rechenzentrums, in dem sich das Gerät befindet, über das die Daten einfließen. |
InstanceID |
principal.resource.product_object_id |
ID der Instanz. |
IntegrationDisplayName |
additional.fields.value.string_value , wobei „key“ IntegrationDisplayName ist |
Anzeigename der Integration. |
IntegrationID |
metadata.product_deployment_id |
ID der Integration. |
IntegrationPolicyVendor |
additional.fields.value.string_value , wobei „key“ IntegrationPolicyVendor ist |
Anbieter der Integrationsrichtlinie. |
IPAddress |
target.ip , target.asset.ip |
IP-Adresse, die mit dem Ereignis verknüpft ist. |
IsIsolated |
about.labels.value , wobei „key“ IsIsolated ist, security_result.about.resource.attribute.labels.value , wobei „key“ IsIsolated ist |
Ob der Vorfall isoliert ist. |
Location |
principal.location.name |
Mit dem Ereignis verknüpfter Ort. |
NewValue |
security_result.about.labels.value , wobei „key“ NewValue ist |
Neuer Wert nach einer Aktualisierung. |
Offramp |
additional.fields.value.string_value , wobei „key“ Offramp ist |
In der Verbindung verwendete Abfahrt. |
OldValue |
security_result.about.labels.value , wobei „key“ OldValue ist |
Alter Wert vor einer Aktualisierung. |
OriginIP |
intermediary.ip , target.ip , target.asset.ip |
IP-Adresse des Ursprungs. |
OriginPort |
target.port |
Ursprungsport. |
OriginResponseBytes |
additional.fields.value.string_value , wobei „key“ OriginResponseBytes ist |
Anzahl der Byte in der Ursprungsantwort. |
OriginResponseStatus |
additional.fields.value.string_value , wobei „key“ OriginResponseStatus ist |
Statuscode der Ursprungsantwort. |
OriginResponseTime |
additional.fields.value.string_value , wobei „key“ OriginResponseTime ist |
Antwortzeit des Ursprungs. |
OriginSSLProtocol |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
OriginTLSCertificateIssuer |
additional.fields.value.string_value , wobei „key“ OriginTLSCertificateIssuer ist |
Aussteller des ursprünglichen TLS-Zertifikats. |
OriginTLSCertificateValidationResult |
additional.fields.value.string_value , wobei „key“ OriginTLSCertificateValidationResult ist |
Ergebnis der Validierung des TLS-Zertifikats des Ursprungs. |
OriginTLSCipher |
additional.fields.value.string_value , wobei „key“ OriginTLSCipher ist |
Chiffre, die in der TLS-Verbindung des Ursprungs verwendet wird. |
OriginTLSHandshakeDurationMs |
additional.fields.value.string_value , wobei „key“ OriginTLSHandshakeDurationMs ist |
Dauer des TLS-Handshakes am Ursprung. |
OriginTLSVersion |
additional.fields.value.string_value , wobei „key“ OriginTLSVersion ist |
TLS-Version, die vom Ursprung verwendet wird. |
OwnerID |
target.user.product_object_id |
ID des Inhabers. |
Policy |
security_result.rule_name |
Mit dem Ereignis verknüpfte Richtlinie. |
PolicyID |
security_result.rule_id |
ID der Richtlinie. |
PolicyName |
security_result.rule_name |
Name der Richtlinie. |
Protocol |
network.application_protocol , network.ip_protocol |
Das in der Verbindung verwendete Protokoll. Wenn der Wert nicht „tls“ oder „TLS“ lautet, wird er in Großbuchstaben umgewandelt und network.application_protocol zugeordnet. Andernfalls wird er mit einer Include-Datei geparst und network.ip_protocol zugeordnet. |
PurposeJustificationPrompt |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
PurposeJustificationResponse |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
QueryCategoryIDs |
security_result.about.labels.value , security_result.about.resource.attribute.labels.value , wobei „QueryCategoryIDs “ der Schlüssel ist |
IDs der Suchanfragekategorien. |
QueryName |
network.dns.questions.name |
Name der DNS-Abfrage. Legt metadata.event_type auf NETWORK_DNS und network.application_protocol auf DNS fest. |
QueryNameReversed |
network.dns.questions.name |
Der umgekehrte Name der DNS-Abfrage. |
QuerySize |
network.sent_bytes |
Größe der Abfrage. |
QueryType |
network.dns.questions.type |
Der Typ der DNS-Abfrage. Sie werden anhand von DNS-Abfragetypcodes numerischen Werten zugeordnet. |
RData |
network.dns.answers.type , network.dns.answers.data |
DNS-Eintragsdaten Mit jedem Element im RData -Array wird ein neues answer -Objekt erstellt. |
RayID |
metadata.product_log_id |
Ray-ID, die mit der Anfrage verknüpft ist. |
Referer |
network.http.referral_url |
Verweis-URL. |
RequestID |
metadata.product_log_id |
ID der Anfrage. |
ResolverDecision |
security_result.summary |
Entscheidung des Resolvers. |
ResourceID |
target.resource.id , target.resource.product_object_id |
ID der Ressource. |
ResourceType |
target.resource.resource_subtype |
Der Typ der Ressource. |
RuleEvaluationDurationMs |
additional.fields.value.string_value , wobei „key“ RuleEvaluationDurationMs ist |
Dauer der Regelauswertung. |
SNI |
network.tls.client.server_name |
Server Name Indication (SNI) im TLS-Client-Hello |
SecurityAction |
security_result.action |
Sicherheitsmaßnahme ergriffen. Ein leerer Wert oder kein SecurityAction wird ALLOW zugeordnet. challengeSolved oder jschallengeSolved wird ALLOW_WITH_MODIFICATION zugeordnet. drop oder block wird BLOCK zugeordnet. |
SecurityLevel |
security_result.severity |
Sicherheitsebene high wird HIGH zugeordnet, med MEDIUM und low LOW . |
SessionEndTime |
additional.fields.value.string_value , wobei „key“ SessionEndTime ist |
Ende der Sitzung. |
SessionID |
network.session_id |
ID der Sitzung. |
SessionStartTime |
metadata.event_timestamp |
Startzeit der Sitzung. |
SourceIP |
principal.ip , principal.asset.ip , src.ip , src.asset.ip |
IP-Adresse der Quelle. |
SourcePort |
principal.port , src.port |
Quellport. |
SrcIP |
principal.ip , principal.asset.ip |
IP-Adresse der Quelle. |
SrcPort |
principal.port |
Quellport. |
TemporaryAccessDuration |
network.session_duration.seconds |
Dauer des vorübergehenden Zugriffs. |
Timestamp |
metadata.event_timestamp |
Zeitstempel des Ereignisses. |
Transport |
network.ip_protocol |
Transportprotokoll. In Großbuchstaben umgewandelt und mit einer Include-Datei geparst. |
UploadedFileNames |
security_result.about.labels.value , wobei „key“ UploadedFileNames ist |
Namen der hochgeladenen Dateien. |
URL |
target.url |
Die URL, die mit dem Ereignis verknüpft ist. |
UserAgent |
network.http.user_agent |
User-Agent-String. Wird auch geparst und network.http.parsed_user_agent zugeordnet. |
UserID |
principal.user.product_object_id , event.idm.read_only_udm.target.user.product_object_id |
ID des Nutzers. |
UserUID |
target.user.product_object_id |
UID des Nutzers. |
VirtualNetworkID |
principal.resource.product_object_id |
ID des virtuellen Netzwerks. |
WAFAction |
security_result.about.labels.value , wobei „key“ WAFAction ist |
Von der Web Application Firewall (WAF) ergriffene Maßnahme. |
WAFAttackScore |
security_result.about.resource.attribute.labels.value , wobei „key“ WAFAttackScore ist |
Von der WAF zugewiesener Angriffswert. |
WAFFlags |
security_result.about.resource.attribute.labels.value , wobei „key“ WAFFlags ist |
WAF-Flags |
WAFMatchedVar |
(Nicht zugeordnet) | Nicht dem IDM-Objekt zugeordnet. |
WAFProfile |
security_result.about.labels.value , wobei „key“ WAFProfile ist |
WAF-Profil |
WAFRCEAttackScore |
security_result.about.resource.attribute.labels.value , wobei „key“ WAFRCEAttackScore ist |
WAF-Bewertung für RCE-Angriffe (Remote Code Execution) |
WAFRuleID |
security_result.threat_id , security_result.about.labels.value , wobei „WAFRuleID “ der Schlüssel ist |
ID der WAF-Regel. |
WAFRuleMessage |
security_result.rule_name , security_result.threat_name |
Mit der WAF-Regel verknüpfte Nachricht. |
WAFSQLiAttackScore |
security_result.about.resource.attribute.labels.value , wobei „key“ WAFSQLiAttackScore ist |
WAF-Bewertung für SQL-Injection-Angriffe. |
WAFXSSAttackScore |
security_result.about.resource.attribute.labels.value , wobei „key“ WAFXSSAttackScore ist |
WAF-Wert für Cross-Site-Scripting-Angriffe (XSS). |
ZoneID |
additional.fields.value.string_value , wobei „key“ ZoneID ist |
Zonen-ID. |
event.idm.read_only_udm.metadata.event_type |
metadata.event_type |
Typ des Ereignisses. Wird vom Parser anhand der Protokolldaten festgelegt. Wenn kein Wert festgelegt ist oder ein NETWORK_DNS -Ereignis kein Hauptkonto oder Ziel hat, wird standardmäßig GENERIC_EVENT verwendet. Kann NETWORK_DNS , NETWORK_CONNECTION , USER_LOGIN , USER_LOGOUT , USER_RESOURCE_ACCESS , USER_RESOURCE_UPDATE_CONTENT oder GENERIC_EVENT sein. |
event.idm.read_only_udm.metadata.log_type |
metadata.log_type |
Logtyp, festgelegt auf „CLOUDFLARE“ |
event.idm.read_only_udm.metadata.product_deployment_id |
metadata.product_deployment_id |
ID der Produktbereitstellung. |
event.idm.read_only_udm.metadata.product_log_id |
metadata.product_log_id |
Produktprotokoll-ID. |
event.idm.read_only_udm.metadata.product_name |
metadata.product_name |
Produktname. Wird vom Parser anhand der Protokolldaten festgelegt. Kann „Cloudflare Gateway DNS“, „Cloudflare Gateway HTTP“, „Cloudflare Audit“ oder „Web Application Firewall“ sein. |
event.idm.read_only_udm.metadata.vendor_name |
metadata.vendor_name |
Anbietername, festgelegt auf „Cloudflare“. |
event.idm.read_only_udm.metadata.event_timestamp |
metadata.event_timestamp |
Zeitstempel des Ereignisses. |
event.idm.read_only_udm.network.application_protocol |
network.application_protocol |
Anwendungsprotokoll, das in der Netzwerkverbindung verwendet wird. |
event.idm.read_only_udm.network.direction |
network.direction |
Richtung der Netzwerkverbindung. Setzen Sie OUTBOUND , wenn EgressIP und SourceIP vorhanden sind. |
event.idm.read_only_udm.network.dns.answers |
network.dns.answers |
DNS-Antworten. |
event.idm.read_only_udm.network.dns.questions |
network.dns.questions |
DNS-Fragen |
event.idm.read_only_udm.network.http.method |
network.http.method |
HTTP-Methode. |
event.idm.read_only_udm.network.http.parsed_user_agent |
network.http.parsed_user_agent |
Geparserter User-Agent. |
event.idm.read_only_udm.network.http.referral_url |
network.http.referral_url |
HTTP-Referrer-URL. |
event.idm.read_only_udm.network.http.response_code |
network.http.response_code |
HTTP-Antwortcode. |
event.idm.read_only_udm.network.http.user_agent |
network.http.user_agent |
HTTP-User-Agent. |
event.idm.read_only_udm.network.ip_protocol |
network.ip_protocol |
IP-Protokoll. |
event.idm.read_only_udm.network.received_bytes |
network.received_bytes |
Anzahl der empfangenen Byte. |
event.idm.read_only_udm.network.sent_bytes |
network.sent_bytes |
Anzahl der gesendeten Byte. |
event.idm.read_only_udm.network.session_duration.seconds |
network.session_duration.seconds |
Dauer der Netzwerksitzung in Sekunden. |
event.idm.read_only_udm.network.session_id |
network.session_id |
Netzwerksitzungs-ID. |
event.idm.read_only_udm.network.tls.cipher |
network.tls.cipher |
TLS-Chiffrensammlung. |
event.idm.read_only_udm.network.tls.client.server_name |
network.tls.client.server_name |
Name des TLS-Client-Servers. |
event.idm.read_only_udm.network.tls.version |
network.tls.version |
TLS-Version |
event.idm.read_only_udm.principal.asset.attribute.labels |
principal.asset.attribute.labels |
Labels, die mit dem Haupt-Asset verknüpft sind. |
event.idm.read_only_udm.principal.asset.hostname |
principal.asset.hostname |
Hostname des Haupt-Assets. |
event.idm.read_only_udm.principal.asset.ip |
principal.asset.ip |
IP-Adresse des Haupt-Assets. |
event.idm.read_only_udm.principal.asset_id |
principal.asset_id |
ID des Haupt-Assets. |
event.idm.read_only_udm.principal.hostname |
principal.hostname |
Hostname des Hauptkontos. |
event.idm.read_only_udm.principal.ip |
principal.ip |
IP-Adresse des Hauptkontos. |
event.idm.read_only_udm.principal.location.country_or_region |
principal.location.country_or_region |
Land oder Region des Hauptsitzes des Hauptauftragnehmers. |
event.idm.read_only_udm.principal.location.name |
principal.location.name |
Name des Standorts des Hauptkontos. |
event.idm.read_only_udm.principal.port |
principal.port |
Vom Hauptkonto verwendeter Port. |
event.idm.read_only_udm.principal.resource.product_object_id |
principal.resource.product_object_id |
Die Produktobjekt-ID der Ressource des Hauptkontos. |
event.idm.read_only_udm.principal.url |
principal.url |
Mit dem Hauptberechtigten verknüpfte URL. |
event.idm.read_only_udm.principal.user.attribute.labels |
principal.user.attribute.labels |
Mit dem Hauptnutzer verknüpfte Labels. |
event.idm.read_only_udm.principal.user.email_addresses |
principal.user.email_addresses |
E-Mail-Adressen des Hauptnutzers. |
event.idm.read_only_udm.principal.user.first_name |
principal.user.first_name |
Vorname des Hauptnutzers. |
event.idm.read_only_udm.principal.user.last_name |
principal.user.last_name |
Nachname des Hauptnutzers. |
event.idm.read_only_udm.principal.user.product_object_id |
principal.user.product_object_id |
Produktobjekt-ID des Hauptnutzers. |
event.idm.read_only_udm.principal.user.userid |
principal.user.userid |
Nutzer-ID des Hauptnutzers. |
event.idm.read_only_udm.principal.user.user_display_name |
principal.user.user_display_name |
Anzeigename des Hauptnutzers. |
event.idm.read_only_udm.src.asset.ip |
src.asset.ip |
IP-Adresse des Quell-Assets. |
event.idm.read_only_udm.src.ip |
src.ip |
IP-Adresse der Quelle. |
event.idm.read_only_udm.src.port |
src.port |
Port der Quelle. |
event.idm.read_only_udm.target.administrative_domain |
target.administrative_domain |
Verwaltungsdomain des Ziels. |
event.idm.read_only_udm.target.asset.hostname |
target.asset.hostname |
Hostname des Ziel-Assets. |
event.idm.read_only_udm.target.asset.ip |
target.asset.ip |
IP-Adresse des Ziel-Assets. |
event.idm.read_only_udm.target.file.mime_type |
target.file.mime_type |
MIME-Typ der Zieldatei. |
event.idm.read_only_udm.target.file.md5 |
target.file.md5 |
MD5-Hash der Zieldatei. |
event.idm.read_only_udm.target.file.sha1 |
target.file.sha1 |
SHA1-Hash der Zieldatei. |
event.idm.read_only_udm.target.file.sha256 |
target.file.sha256 |
SHA256-Hash der Zieldatei. |
event.idm.read_only_udm.target.file.size |
target.file.size |
Größe der Zieldatei. |
event.idm.read_only_udm.target.hostname |
target.hostname |
Hostname des Ziels. |
event.idm.read_only_udm.target.ip |
target.ip |
IP-Adresse des Ziels. |
event.idm.read_only_udm.target.location.country_or_region |
target.location.country_or_region |
Land oder Region des Ziels. |
event.idm.read_only_udm.target.port |
target.port |
Port des Ziels. |
event.idm.read_only_udm.target.resource.attribute.labels |
target.resource.attribute.labels |
Mit der Zielressource verknüpfte Labels. |
event.idm.read_only_udm.target.resource.id |
target.resource.id |
ID der Zielressource. |
event.idm.read_only_udm.target.resource.product_object_id |
target.resource.product_object_id |
Die Produktobjekt-ID der Zielressource. |
event.idm.read_only_udm.target.resource.resource_subtype |
target.resource.resource_subtype |
Ressourcenuntertyp der Zielressource. |
event.idm.read_only_udm.target.url |
target.url |
URL des Ziels. |
event.idm.read_only_udm.target.user.email_addresses |
target.user.email_addresses |
E-Mail-Adressen der Zielnutzer. |
event.idm.read_only_udm.target.user.product_object_id |
target.user.product_object_id |
Produktobjekt-ID des Zielnutzers. |
event.idm.read_only_udm.security_result.about.file.full_path |
security_result.about.file.full_path |
Vollständiger Pfad der Datei, die mit dem Sicherheitsergebnis verknüpft ist. |
event.idm.read_only_udm.security_result.about.labels |
security_result.about.labels |
Labels, die mit dem Sicherheitsergebnis verknüpft sind. |
event.idm.read_only_udm.security_result.about.resource.attribute.labels |
security_result.about.resource.attribute.labels |
Labels, die mit der Ressource im Sicherheitsergebnis verknüpft sind. |
event.idm.read_only_udm.security_result.action |
security_result.action |
Im Sicherheitsergebnis ergriffene Maßnahme. |
event.idm.read_only_udm.security_result.detection_fields |
security_result.detection_fields |
Erkennungsfelder im Sicherheitsergebnis |
event.idm.read_only_udm.security_result.description |
security_result.description |
Beschreibung des Sicherheitsergebnisses. |
event.idm.read_only_udm.security_result.rule_id |
security_result.rule_id |
Regel-ID des Sicherheitsergebnisses. |
event.idm.read_only_udm.security_result.rule_name |
security_result.rule_name |
Regelname des Sicherheitsergebnisses. |
event.idm.read_only_udm.security_result.severity |
security_result.severity |
Schwere des Sicherheitsergebnisses. |
event.idm.read_only_udm.security_result.summary |
security_result.summary |
Zusammenfassung des Sicherheitsergebnisses. |
event.idm.read_only_udm.security_result.threat_id |
security_result.threat_id |
Die Bedrohungs-ID des Sicherheitsergebnisses. |
event.idm.read_only_udm.security_result.threat_name |
security_result.threat_name |
Der Name der Bedrohung des Sicherheitsergebnisses. |
event.idm.read_only_udm.extensions.auth.type |
extensions.auth.type |
Authentifizierungstyp. Legen Sie für Anmelde- und Abmeldeereignisse MACHINE fest. |
event.idm.read_only_udm.about |
about |
Informationen zu |
event.idm.read_only_udm.additional.fields |
additional.fields |
Zusätzliche Felder |
event.idm.read_only_udm.intermediary |
intermediary |
Informationen zum Vermittler |
Änderungen
2024-02-19
- Fehlerkorrektur:
- Wenn keine Daten zu Haupt- und Zielcomputer vorhanden sind, wird „metadata.event_type“ mit „GENERIC_EVENT“ abgeglichen.
- Wenn das Feld „Datum/Uhrzeit“ fehlt und das Feld „Zeitstempel“ vorhanden ist, wird „Zeitstempel“ mit „metadata.event_timestamp“ abgeglichen.
- „ClientIP“ wurde auf „principal.ip“ zugeordnet.
- „RayID“ wurde auf „metadata.product_log_id“ zugeordnet.
- „EdgeResponseStatus“ wurde in „network.http.response_code“ geändert.
- „ClientRequestMethod“ wurde auf „network.http.method“ zugeordnet.
- „ClientRequestURI“ wurde „target.uri“ zugeordnet.
- „ClientRequestHost“ wurde auf „target.hostname“ zugeordnet.
2024-01-31
- „BotScore“ wurde zu „security_result.detection_fields“ zugeordnet.
- Die Zuordnungen „principal.hostname“, „target.hostname“, „principal.asset.hostname“ und „target.asset.hostname“ wurden angeglichen.
- Die Zuordnungen „principal.ip“, „target.ip“, „principal.asset.ip“ und „target.asset.ip“ wurden angeglichen.
2024-01-08
- Wenn „Action“ „allow“ enthält, legen Sie „security_result.action“ auf „ALLOW“ fest.
- Zuordnung von „DeviceName“ zu „principal.hostname“ und „principal.asset.hostname“ hinzugefügt.
- Zuordnung von „SourceIP“ zu „principal.ip“ für DNS-Protokolle hinzugefügt.
- Es wurde eine bedingte Nullprüfung hinzugefügt, bevor „principal“ mit „event.idm.read_only_udm.principal“ abgeglichen wird.
- Es wurde eine bedingte Nullprüfung hinzugefügt, bevor „target“ mit „event.idm.read_only_udm.target“ abgeglichen wird.
2023-11-22
- „WAFRuleID“ wurde „security_result.threat_id“ zugeordnet.
- „WAFRuleMessage“ wurde „security_result.threat_name“ zugeordnet.
- „WAFRCEAttackScore“, „WAFSQLiAttackScore“, „WAFXSSAttackScore“, „WAFAttackScore“ und „WAFFlags“ wurden in „security_result.about.resource.attribute.labels“ umgewandelt.
2023-10-09
- Wenn der Wert „SecurityAction“ null ist oder nicht vorhanden ist, legen Sie „security_result.action“ auf „ALLOW“ fest.
2023-09-26
- Die Zuordnungen wurden von veralteten UDM-Feldern auf alternative Felder umgestellt.
- Zuordnung von „security_result.about.labels“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
- Zuordnung von „about.labels“ zu „security_result.about.resource.attribute.labels“ hinzugefügt.
- Zuordnung von „target.resource.id“ zu „target.resource.product_object_id“ hinzugefügt.
2023-04-25
- Die folgenden Rohlogsfelder wurden UDM-Feldern zugeordnet:
- „EdgeStartTimestamp“, „ClientIP“, „ClientRequestHost“, „ClientRequestURI“, „ClientRequestMethod“, „Datum/Uhrzeit“, „ActorEmail“ und „ActorIP“ wurden auf „null“ initialisiert.
- „AssetExternalID“ wurde „principal.asset_id“ zugeordnet.
- „AssetDisplayName“ wurde „principal.asset.attribute.labels“ zugeordnet.
- „AssetLink“ wurde mit „principal.url“ verknüpft.
- „AssetMetadata.userKey“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.clientId“ wurde auf „principal.user.userid“ zugeordnet.
- „AssetMetadata.anonymous“ wurde in „security_result.detection_fields“ geändert.
- „AssetMetadata.nativeApp“ wurde in „security_result.detection_fields“ umgewandelt.
- „DetectedTimestamp“ wurde zu „metadata.event_timestamp“ zugeordnet.
- „FindingTypeDisplayName“ wurde auf „security_result.description“ zugeordnet.
- „FindingTypeID“ wurde auf „security_result.rule_id“ zugeordnet.
- „FindingTypeSeverity“ wurde in „security_result.severity“ geändert.
- „InstanceID“ wurde „principal.resource.product_object_id“ zugeordnet.
- „IntegrationDisplayName“ wurde „additional.fields“ zugeordnet.
- „IntegrationID“ wurde auf „metadata.product_deployment_id“ zugeordnet.
- „IntegrationPolicyVendor“ wurde auf „additional.fields“ zugeordnet.
- „AssetMetadata.customerId“ wurde auf „principal.user.userid“ zugeordnet.
- „AssetMetadata.primaryEmail“ wurde auf „principal.user.email_addresses“ zugeordnet.
- „AssetMetadata.agreedToTerms“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.ipWhitelisted“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.lastLoginTime“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.isEnforcedIn2Sv“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.isEnrolledIn2Sv“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.isDelegatedAdmin“ wurde auf „principal.user.attribute.labels“ zugeordnet.
- „AssetMetadata.changePasswordAtNextLogin“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.includeInGlobalAddressList“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.isAdmin“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.suspended“ wurde auf „principal.user.attribute.labels“ zugeordnet.
- „AssetMetadata.url“ wurde „principal.url“ zugeordnet.
- „AssetMetadata.site_admin“ wurde in „principal.user.attribute.labels“ geändert.
- „AssetMetadata.login“ wurde „principal.user.userid“ zugeordnet.
- „AssetMetadata.owner.id“ wurde mit „principal.user.userid“ verknüpft.
- „AssetMetadata.name.fullName“ wurde in „principal.user.user_display_name“ umgewandelt.
- „AssetMetadata.name.givenName“ wurde in „principal.user.first_name“ geändert.
- „AssetMetadata.name.familyName“ wurde „principal.user.last_name“ zugeordnet.
- „Zugelassen“ wurde „security_result.action“ zugeordnet.
- „AppDomain“ wurde „target.administrative_domain“ zugeordnet.
- „AppUUID“ wurde „target.resource.product_object_id“ zugeordnet.
- „Verbindung“ wurde mit „target.resource.attribute.labels“ verknüpft.
- „Land“ wurde „target.location.country_or_region“ zugeordnet.
- „CreatedAt“ wurde auf „metadata.event_timestamp“ zugeordnet.
- „IPAddress“ wurde „target.ip“ zugeordnet.
- „RayID“ wurde auf „metadata.product_log_id“ zugeordnet.
- „E-Mail“ wurde „principal.user.email_addresses“ und „target.user.email_addresses“ zugeordnet.
- „TemporaryAccessDuration“ wurde zu „network.session_duration.seconds“ zugeordnet.
- „UserUID“ wurde „target.user.product_object_id“ zugeordnet.
- „UserAgent“ wurde in „network.http.parsed_user_agent“ umgewandelt.
- „ClientRequestUserAgent“ wurde in „network.http.parsed_user_agent“ geändert.
- „PolicyName“ wurde auf „security_result.rule_name“ zugeordnet.
- „SessionID“ wurde „network.session_id“ zugeordnet.
- „Transport“ wurde auf „network.ip_protocol“ umgestellt.
- „SNI“ wurde „tls.client.server_name“ zugeordnet.
- „DeviceName“ wurde in „principal.asset.attribute.labels“ geändert.
- „BytesReceived“ wurde in „network.received_bytes“ geändert.
- „BytesSent“ wurde in „network.sent_bytes“ geändert.
- „Protokoll“ wurde auf „network.ip_protocol“ umgestellt.
- „ClientTCPHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
- „ClientTLSCipher“ wurde „network.tls.cipher“ zugeordnet.
- „ClientTLSHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
- „ClientTLSVersion“ wurde in „network.tls.version“ geändert.
- „ConnectionCloseReason“ wurde „additional.fields“ zugeordnet.
- „ConnectionReuse“ wurde in „additional.fields“ geändert.
- „DestinationTunnelID“ wurde „additional.fields“ zugeordnet.
- „EgressIP“ wurde auf „principal.ip“ zugeordnet.
- „EgressPort“ wurde auf „principal.port“ zugeordnet.
- „EgressRuleID“ wurde auf „additional.fields“ zugeordnet.
- „EgressRuleName“ wurde „additional.fields“ zugeordnet.
- „IngressColoName“ wurde „additional.fields“ zugeordnet.
- „Offramp“ wurde „additional.fields“ zugeordnet.
- „OriginIP“ wurde „target.ip“ zugeordnet.
- „OriginPort“ wurde auf „target.port“ zugeordnet.
- „OriginTLSCertificateIssuer“ wurde „additional.fields“ zugeordnet.
- „OriginTLSCertificateValidationResult“ wurde „additional.fields“ zugeordnet.
- „OriginTLSCipher“ wurde „additional.fields“ zugeordnet.
- „OriginTLSHandshakeDurationMs“ wurde „additional.fields“ zugeordnet.
- „OriginTLSVersion“ wurde „additional.fields“ zugeordnet.
- „RuleEvaluationDurationMs“ wurde „additional.fields“ zugeordnet.
- „SessionEndTime“ wurde „additional.fields“ zugeordnet.
- „SessionStartTime“ wurde in „metadata.event_timestamp“ umgewandelt.
- „SourceIP“ wurde in „src.ip“ geändert.
- „SourcePort“ wurde in „src.port“ geändert.
- „UserID“ wurde auf „principal.user.product_object_id“ zugeordnet.
- „VirtualNetworkID“ wurde auf „principal.resource.product_object_id“ zugeordnet.
2023-04-06
- Verbesserung: Die Felder „WAFRuleMessage“, „WAFAction“, „QueryType“, „RayID“ und „Email“ wurden auf globaler Ebene deklariert.
- „metadata.event_type“ wurde als „NETWORK_UNCATEGORIZED“ zugeordnet, wobei die Felder „QueryName“ und „QueryNameReversed“ den Wert „null“ haben.
- Es wurden Fehlerprüfungen für die folgenden Felder hinzugefügt: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
- Stringkonvertierung für die Felder „SourcePort“ und „DestinationPort“ hinzugefügt.
2022-10-10
- Optimierung
- „metadata.product_name“ wurde „Web Application Firewall“ zugeordnet.
- „metadata.vendor_name“ wurde „Cloudflare“ zugeordnet.
2022-05-23
- Die folgenden Elemente aus Rohlogs wurden UDM-Elementen zugeordnet:
- „ClientASN“ wurde „network.asn“ zugeordnet.
- „ClientSSLCipher“ wurde „network.tls.cipher“ zugeordnet.
- „ClientSSLProtocol“ wurde in „network.tls.version“ geändert.
- „EdgeResponseContentType“ wurde in „target.file.mime_type“ umgewandelt.
- „OriginIP“ wurde „intermediary.ip“ zugeordnet.
- „FirewallMatchesActions“ wurde in „security_result.action“ geändert.
- „FirewallMatchesRuleIDs“ wurde in „security_result.rule_id“ umgewandelt.
- „FirewallMatchesSources“ wurde in „security_result.rule_name“ geändert.
- „WAFRuleID“ und „WAFProfile“ wurden auf „security_result.about.labels“ zugeordnet.
- „CacheCacheStatus“, „CacheResponseBytes“, „CacheResponseStatus“, „ClientDeviceType“, „EdgeColoCode“, „EdgeColoID“, „OriginResponseBytes“, „OriginResponseStatus“, „OriginResponseTime“, „ZoneID“ wurden in „additional.fields“ umgewandelt.