Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cloudflare

Didukung di:

Google SecOps SIEM

Ringkasan

Parser ini menangani berbagai jenis log Cloudflare (DNS, HTTP, Audit, Zero Trust, CASB). Pertama, fungsi ini akan menormalisasi kolom umum, lalu menerapkan logika kondisional berdasarkan kolom tertentu seperti QueryName, Action, dan ID untuk mengekstrak dan memetakan data yang relevan ke UDM. Fungsi ini juga melakukan konversi jenis data, pencocokan grok untuk alamat IP dan hash, serta menangani payload JSON bertingkat.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud IAM.
Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud Storage.
Pastikan Anda memiliki akses dengan hak istimewa ke Cloudflare.

Membuat Bucket Google Cloud Storage

Login ke Konsol Google Cloud
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
1. Di bagian Mulai, lakukan hal berikut:
  1. Masukkan nama unik yang memenuhi persyaratan nama bucket (misalnya, cloudflare-data).
  2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.
  Catatan: Anda tidak dapat mengaktifkan namespace hierarkis di bucket yang ada.
  1. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.
  2. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
2. Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:
  1. Pilih Jenis lokasi.
  2. Gunakan drop-down jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
    1. Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo menggunakan kotak centang yang relevan.
  3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.
3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
4. Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.
  
  Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Prevent public access akan dikunci.
5. Di bagian Pilih cara melindungi data objek, lakukan hal berikut:
  1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
  2. Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Create.

Membuat Akun Layanan Google Cloud

Buka IAM & Admin > Service Accounts.
Buat akun layanan baru.
Beri nama deskriptif (Misalnya, cloudflare-logs).
Berikan akun layanan dengan peran Storage Object Creator di bucket GCS yang Anda buat di langkah sebelumnya.
Buat kunci SSH untuk akun layanan.
Mendownload file kunci JSON untuk akun layanan. Jaga agar file ini tetap aman.

Mengaktifkan Cloudflare IAM ke Google Cloud Storage

Buka Storage > Browser > Bucket > Permissions.
Tambahkan anggota logpush@cloudflare-data. dengan izin Storage Object Admin.

Mengonfigurasi feed di Google SecOps untuk menyerap log Cloudflare

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Feed name, masukkan nama untuk feed (misalnya, Cloudflare Logs).
Pilih Google Cloud Storage sebagai Source type.
Pilih Cloudflare sebagai Jenis log.
Klik Get Service Account sebagai Chronicle Service Account.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Storage Bucket URI: URL bucket penyimpanan Google Cloud dalam format gs://my-bucket/<value>.
- URI adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda telah memberikan izin yang sesuai ke akun layanan.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Mengonfigurasi Cloudflare untuk mengirim log ke Google Cloud Storage

Login ke dasbor Cloudflare.
Pilih Akun atau domain perusahaan (juga dikenal sebagai zona) yang ingin Anda gunakan dengan Logpush.
Buka Analytics & Logs > Logpush.
Pilih tugas Buat Logpush.
Di Pilih tujuan, pilih Google Cloud Storage.
Masukkan atau pilih detail tujuan berikut:
- Bucket: Nama bucket GCS
- Jalur: lokasi bucket dalam penampung penyimpanan
- Kotak centang: Atur log ke dalam subfolder harian (direkomendasikan)
Catatan: Pastikan bucket Anda memiliki IAM Cloudflare sebagai pengguna dengan peran Storage Object Admin.
Klik Lanjutkan.
Verifikasi kepemilikan:
1. Cloudflare akan mengirim file ke bucket Anda.
2. Salin dan tempel token:
  1. Login ke konsol Google Cloud > Storage > bucket Cloudflare.
  2. Buka file sengketa kepemilikan.
  3. Salin Token Kepemilikan.
  4. Masukkan token kepemilikan di konsol Cloudflare.
  5. Pilih Lanjutkan.
3. Pilih set data untuk dikirim ke bucket.
Konfigurasikan tugas logpush:
1. Masukkan Nama tugas.
2. Di bagian Jika log cocok, Anda dapat memilih peristiwa yang akan disertakan dan/atau dihapus dari log.
Catatan: Tidak semua set data memiliki opsi ini.
1. Kirim kolom berikut: Pilih untuk mendorong semua log atau pilih secara selektif log yang ingin Anda dorong.
Pilih Kirim untuk menyelesaikan konfigurasi.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AccountID`	`target.resource.id`, `target.resource.product_object_id`	ID akun yang terkait dengan peristiwa.
`Action`	`security_result.action`	Tindakan yang diambil berdasarkan peristiwa. `allow` atau `allowed*` menghasilkan `ALLOW`. `unknown` menghasilkan `UNKNOWN_ACTION`. Nilai lainnya menghasilkan `BLOCK`. Untuk Log akses, `login` dipetakan ke `USER_LOGIN`, `logout` ke `USER_LOGOUT`, dan nilai lainnya ke `USER_RESOURCE_ACCESS` jika ada email.
`ActionResult`	`security_result.action`	Jika `true`, dipetakan ke `ALLOW`. Jika `false`, dipetakan ke `BLOCK`. Jika tidak, dipetakan ke `UNKNOWN_ACTION`.
`ActionType`	`security_result.description`	Deskripsi tindakan yang dilakukan.
`ActorEmail`	`principal.user.email_addresses`	Alamat email pelaku yang memulai peristiwa.
`ActorID`	`principal.user.product_object_id`	ID aktor yang memulai peristiwa.
`ActorIP`	`principal.ip`, `principal.asset.ip`	Alamat IP pelaku yang memulai peristiwa.
`Allowed`	`security_result.action`	Jika `true`, dipetakan ke `ALLOW`. Jika tidak, dipetakan ke `BLOCK`.
`AppDomain`	`target.administrative_domain`	Domain aplikasi yang terlibat dalam peristiwa.
`AppUUID`	`target.resource.product_object_id`	UUID aplikasi yang terlibat dalam peristiwa.
`AssetDisplayName`	`principal.asset.attribute.labels.value` dengan kunci `AssetDisplayName`	Nama tampilan aset.
`AssetExternalID`	`principal.asset_id` (diawali dengan "Cloudflare:")	ID eksternal aset.
`AssetLink`	`principal.url`	Link yang terkait dengan aset.
`AssetMetadata.agreedToTerms`	`principal.user.attribute.labels.value` dengan kunci `agreedToTerms`	Apakah pengguna menyetujui persyaratan.
`AssetMetadata.changePasswordAtNextLogin`	`principal.user.attribute.labels.value` dengan kunci `changePasswordAtNextLogin`	Apakah pengguna perlu mengubah sandi saat login berikutnya.
`AssetMetadata.clientId`	`principal.user.userid`	Client ID dari metadata aset.
`AssetMetadata.customerId`	`principal.user.userid`	ID pelanggan dari metadata aset.
`AssetMetadata.familyName`	`principal.user.last_name`	Nama keluarga pengguna dari metadata aset.
`AssetMetadata.givenName`	`principal.user.first_name`	Nama depan pengguna dari metadata aset.
`AssetMetadata.includeInGlobalAddressList`	`principal.user.attribute.labels.value` dengan kunci `includeInGlobalAddressList`	Apakah pengguna disertakan dalam daftar alamat global.
`AssetMetadata.ipWhitelisted`	`principal.user.attribute.labels.value` dengan kunci `ipWhitelisted`	Apakah pengguna memiliki IP yang diizinkan.
`AssetMetadata.isAdmin`	`principal.user.attribute.labels.value` dengan kunci `isAdmin`	Apakah pengguna adalah admin.
`AssetMetadata.isDelegatedAdmin`	`principal.user.attribute.labels.value` dengan kunci `isDelegatedAdmin`	Apakah pengguna adalah admin yang didelegasikan.
`AssetMetadata.isEnforcedIn2Sv`	`principal.user.attribute.labels.value` dengan kunci `isEnforcedIn2Sv`	Apakah 2SV diterapkan untuk pengguna.
`AssetMetadata.isEnrolledIn2Sv`	`principal.user.attribute.labels.value` dengan kunci `isEnrolledIn2Sv`	Apakah pengguna terdaftar dalam Verifikasi 2 Langkah.
`AssetMetadata.kind`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`AssetMetadata.lastLoginTime`	`principal.user.attribute.labels.value` dengan kunci `lastLoginTime`	Waktu login terakhir pengguna.
`AssetMetadata.login`	`principal.user.userid`	Nama login dari metadata aset.
`AssetMetadata.name.familyName`	`principal.user.last_name`	Nama keluarga dari metadata aset.
`AssetMetadata.name.fullName`	`principal.user.user_display_name`	Nama lengkap dari metadata aset.
`AssetMetadata.name.givenName`	`principal.user.first_name`	Nama depan dari metadata aset.
`AssetMetadata.nativeApp`	`security_result.detection_fields.value` dengan kunci `nativeApp`	Apakah aplikasi bersifat native.
`AssetMetadata.owner.id`	`principal.user.userid`	ID Pemilik dari metadata aset.
`AssetMetadata.primaryEmail`	`principal.user.email_addresses`	Email utama dari metadata aset.
`AssetMetadata.scopes`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`AssetMetadata.site_admin`	`principal.user.attribute.labels.value` dengan kunci `site_admin`	Apakah pengguna adalah admin situs.
`AssetMetadata.suspended`	`principal.user.attribute.labels.value` dengan kunci `suspended`	Apakah pengguna ditangguhkan.
`AssetMetadata.url`	`principal.url`	URL dari metadata aset.
`AssetMetadata.userKey`	`principal.user.attribute.labels.value` dengan kunci `userKey`	Kunci pengguna dari metadata aset.
`BlockedFileHash`	`target.file.md5`, `target.file.sha1`, `target.file.sha256`	Hash file yang diblokir. Diurai menggunakan grok untuk mengekstrak md5, sha1, atau sha256.
`BlockedFileName`	`security_result.about.file.full_path`	Nama file yang diblokir.
`BlockedFileReason`	`security_result.summary`	Alasan pemblokiran file.
`BlockedFileSize`	`target.file.size`	Ukuran file yang diblokir.
`BotScore`	`security_result.detection_fields.value` dengan kunci `BotScore`	Skor bot yang ditetapkan ke permintaan.
`BytesReceived`	`network.received_bytes`	Jumlah byte yang diterima.
`BytesSent`	`network.sent_bytes`	Jumlah byte yang dikirim.
`CacheCacheStatus`	`additional.fields.value.string_value` dengan kunci `CacheCacheStatus`	Status cache.
`CacheResponseBytes`	`additional.fields.value.string_value` dengan kunci `CacheResponseBytes`	Jumlah byte dalam respons yang di-cache.
`CacheResponseStatus`	`additional.fields.value.string_value` dengan kunci `CacheResponseStatus`	Kode status respons yang di-cache.
`ClientASN`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ClientCountry`	`principal.location.country_or_region`	Negara klien.
`ClientDeviceType`	`additional.fields.value.string_value` dengan kunci `ClientDeviceType`	Jenis perangkat klien.
`ClientIP`	`principal.ip`, `principal.asset.ip`	Alamat IP klien.
`ClientRequestMethod`	`network.http.method`	Metode permintaan HTTP yang digunakan oleh klien.
`ClientRequestHost`	`target.hostname`, `target.asset.hostname`	Nama host yang diminta oleh klien.
`ClientRequestPath`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`ClientRequestProtocol`	`network.application_protocol`	Protokol yang digunakan dalam permintaan klien (mis., HTTP, HTTPS). Versi protokol dihapus.
`ClientRequestReferer`	`network.http.referral_url`	URL perujuk permintaan klien.
`ClientRequestURI`	`target.url` (digabungkan dengan `ClientRequestHost` jika ada)	URI yang diminta oleh klien.
`ClientRequestUserAgent`	`network.http.user_agent`	Agen pengguna permintaan klien. Juga diuraikan dan dipetakan ke `network.http.parsed_user_agent`.
`ClientSSLCipher`	`network.tls.cipher`	Cipher SSL yang digunakan oleh klien.
`ClientSSLProtocol`	`network.tls.version`	Protokol SSL yang digunakan oleh klien.
`ClientSrcPort`	`principal.port`	Port sumber klien.
`ClientTCPHandshakeDurationMs`	`additional.fields.value.string_value` dengan kunci `ClientTCPHandshakeDurationMs`	Durasi handshake TCP klien.
`ClientTLSHandshakeDurationMs`	`additional.fields.value.string_value` dengan kunci `ClientTLSHandshakeDurationMs`	Durasi handshake TLS klien.
`ClientTLSVersion`	`network.tls.version`	Versi TLS yang digunakan oleh klien.
`ColoID`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`Connection`	`target.resource.attribute.labels.value` dengan kunci `Connection`	Jenis koneksi (misalnya, saml).
`ConnectionCloseReason`	`additional.fields.value.string_value` dengan kunci `ConnectionCloseReason`	Alasan penutupan koneksi.
`ConnectionReuse`	`additional.fields.value.string_value` dengan kunci `ConnectionReuse`	Apakah penggunaan kembali koneksi terjadi.
`Country`	`target.location.country_or_region`	Negara yang terkait dengan peristiwa.
`CreatedAt`	`metadata.event_timestamp`	Stempel waktu pembuatan peristiwa.
`Datetime`	`metadata.event_timestamp`	Tanggal dan waktu peristiwa.
`DestinationIP`	`target.ip`, `target.asset.ip`	Alamat IP tujuan.
`DestinationPort`	`target.port`	Port tujuan.
`DestinationTunnelID`	`additional.fields.value.string_value` dengan kunci `DestinationTunnelID`	ID tunnel tujuan.
`DeviceID`	`principal.asset_id` (diawali dengan "Cloudflare:")	ID perangkat.
`DeviceName`	`principal.hostname`, `principal.asset.hostname`, `principal.asset.attribute.labels.value` dengan kunci `DeviceName`	Nama perangkat.
`DownloadedFileNames`	`security_result.about.labels.value` dengan kunci `DownloadFileNames`	Nama file yang didownload.
`DstIP`	`target.ip`, `target.asset.ip`	Alamat IP tujuan.
`DstPort`	`target.port`	Port tujuan.
`EdgeColoCode`	`additional.fields.value.string_value` dengan kunci `EdgeColoCode`	Kode lokasi edge Cloudflare.
`EdgeColoID`	`additional.fields.value.string_value` dengan kunci `EdgeColoID`	ID lokasi edge Cloudflare.
`EdgeEndTimestamp`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`EdgeResponseBytes`	`network.received_bytes`	Jumlah byte dalam respons dari edge.
`EdgeResponseContentType`	`target.file.mime_type`	Jenis konten respons edge.
`EdgeResponseStatus`	`network.http.response_code`	Kode status respons edge.
`EdgeServerIP`	`target.ip`, `target.asset.ip`	Alamat IP server edge.
`EdgeStartTimestamp`	`metadata.event_timestamp`	Stempel waktu awal permintaan di edge.
`Email`	`principal.user.email_addresses`, `target.user.email_addresses`	Alamat email yang terkait dengan peristiwa.
`EgressColoName`	`additional.fields.value.string_value` dengan kunci `EgressColoName`	Nama colo egress.
`EgressIP`	`principal.ip`, `principal.asset.ip`	Alamat IP keluar. Menetapkan `network.direction` ke `OUTBOUND`.
`EgressPort`	`principal.port`	Port keluar.
`EgressRuleID`	`additional.fields.value.string_value` dengan kunci `EgressRuleID`	ID aturan keluar.
`EgressRuleName`	`additional.fields.value.string_value` dengan kunci `EgressRuleName`	Nama aturan traffic keluar.
`FindingTypeDisplayName`	`security_result.description`	Nama tampilan jenis temuan.
`FindingTypeID`	`security_result.rule_id`	ID jenis temuan.
`FindingTypeSeverity`	`security_result.severity`	Tingkat keparahan jenis temuan.
`FirewallMatchesActions`	`security_result.action`	Tindakan yang dilakukan oleh aturan firewall. `allow`, `Allow`, `ALLOW`, `skip`, `SKIP`, `Skip` dipetakan ke `ALLOW`. `challengeSolved` dan `jschallengeSolved` dipetakan ke `ALLOW_WITH_MODIFICATION`. `drop` dan `block` dipetakan ke `BLOCK`. Nilai lainnya dipetakan ke `UNKNOWN_ACTION`.
`FirewallMatchesRuleIDs`	`security_result.rule_id` (untuk ID pertama), ID berikutnya akan membuat objek `security_result` baru.	ID aturan firewall yang cocok.
`FirewallMatchesSources`	`security_result.rule_name`	Sumber aturan firewall yang cocok.
`HTTPHost`	`target.hostname`	Host HTTP.
`HTTPMethod`	`network.http.method`	Metode HTTP.
`HTTPVersion`	`network.application_protocol`	Jika nilai berisi "HTTP", tetapkan `network.application_protocol` ke `HTTP`.
`ID`	`metadata.product_log_id`	ID peristiwa.
`IngressColoName`	`additional.fields.value.string_value` dengan kunci `IngressColoName`	Nama kolom ingress.
`InstanceID`	`principal.resource.product_object_id`	ID instance.
`IntegrationDisplayName`	`additional.fields.value.string_value` dengan kunci `IntegrationDisplayName`	Nama tampilan integrasi.
`IntegrationID`	`metadata.product_deployment_id`	ID integrasi.
`IntegrationPolicyVendor`	`additional.fields.value.string_value` dengan kunci `IntegrationPolicyVendor`	Vendor kebijakan integrasi.
`IPAddress`	`target.ip`, `target.asset.ip`	Alamat IP yang dikaitkan dengan peristiwa.
`IsIsolated`	`about.labels.value` dengan kunci `IsIsolated`, `security_result.about.resource.attribute.labels.value` dengan kunci `IsIsolated`	Apakah peristiwa diisolasi.
`Location`	`principal.location.name`	Lokasi yang terkait dengan peristiwa.
`NewValue`	`security_result.about.labels.value` dengan kunci `NewValue`	Nilai baru setelah update.
`Offramp`	`additional.fields.value.string_value` dengan kunci `Offramp`	Offramp yang digunakan dalam koneksi.
`OldValue`	`security_result.about.labels.value` dengan kunci `OldValue`	Nilai lama sebelum pembaruan.
`OriginIP`	`intermediary.ip`, `target.ip`, `target.asset.ip`	Alamat IP asal.
`OriginPort`	`target.port`	Port asal.
`OriginResponseBytes`	`additional.fields.value.string_value` dengan kunci `OriginResponseBytes`	Jumlah byte dalam respons origin.
`OriginResponseStatus`	`additional.fields.value.string_value` dengan kunci `OriginResponseStatus`	Kode status respons origin.
`OriginResponseTime`	`additional.fields.value.string_value` dengan kunci `OriginResponseTime`	Waktu respons origin.
`OriginSSLProtocol`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`OriginTLSCertificateIssuer`	`additional.fields.value.string_value` dengan kunci `OriginTLSCertificateIssuer`	Penerbit sertifikat TLS asal.
`OriginTLSCertificateValidationResult`	`additional.fields.value.string_value` dengan kunci `OriginTLSCertificateValidationResult`	Hasil validasi sertifikat TLS asal.
`OriginTLSCipher`	`additional.fields.value.string_value` dengan kunci `OriginTLSCipher`	Cipher yang digunakan dalam koneksi TLS asal.
`OriginTLSHandshakeDurationMs`	`additional.fields.value.string_value` dengan kunci `OriginTLSHandshakeDurationMs`	Durasi handshake TLS asal.
`OriginTLSVersion`	`additional.fields.value.string_value` dengan kunci `OriginTLSVersion`	Versi TLS yang digunakan oleh origin.
`OwnerID`	`target.user.product_object_id`	ID pemilik.
`Policy`	`security_result.rule_name`	Kebijakan yang terkait dengan peristiwa.
`PolicyID`	`security_result.rule_id`	ID kebijakan.
`PolicyName`	`security_result.rule_name`	Nama kebijakan.
`Protocol`	`network.application_protocol`, `network.ip_protocol`	Protokol yang digunakan dalam koneksi. Jika bukan "tls" atau "TLS", dikonversi ke huruf besar dan dipetakan ke `network.application_protocol`. Jika tidak, akan diuraikan menggunakan file include dan dipetakan ke `network.ip_protocol`.
`PurposeJustificationPrompt`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`PurposeJustificationResponse`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`QueryCategoryIDs`	`security_result.about.labels.value`, `security_result.about.resource.attribute.labels.value` dengan kunci `QueryCategoryIDs`	ID kategori kueri.
`QueryName`	`network.dns.questions.name`	Nama kueri DNS. Menetapkan `metadata.event_type` ke `NETWORK_DNS` dan `network.application_protocol` ke `DNS`.
`QueryNameReversed`	`network.dns.questions.name`	Nama terbalik dari kueri DNS.
`QuerySize`	`network.sent_bytes`	Ukuran kueri.
`QueryType`	`network.dns.questions.type`	Jenis kueri DNS. Dipetakan ke nilai numerik berdasarkan kode jenis kueri DNS.
`RData`	`network.dns.answers.type`, `network.dns.answers.data`	Data data DNS. Setiap elemen dalam array `RData` membuat objek `answer` baru.
`RayID`	`metadata.product_log_id`	ID Ray yang terkait dengan permintaan.
`Referer`	`network.http.referral_url`	URL perujuk.
`RequestID`	`metadata.product_log_id`	ID permintaan.
`ResolverDecision`	`security_result.summary`	Keputusan yang dibuat oleh resolver.
`ResourceID`	`target.resource.id`, `target.resource.product_object_id`	ID resource.
`ResourceType`	`target.resource.resource_subtype`	Jenis resource.
`RuleEvaluationDurationMs`	`additional.fields.value.string_value` dengan kunci `RuleEvaluationDurationMs`	Durasi evaluasi aturan.
`SNI`	`network.tls.client.server_name`	Server Name Indication (SNI) di TLS client hello.
`SecurityAction`	`security_result.action`	Tindakan keamanan telah dilakukan. Nilai kosong atau tidak ada `SecurityAction` yang dipetakan ke `ALLOW`. `challengeSolved` atau `jschallengeSolved` dipetakan ke `ALLOW_WITH_MODIFICATION`. `drop` atau `block` dipetakan ke `BLOCK`.
`SecurityLevel`	`security_result.severity`	Tingkat keamanan. `high` dipetakan ke `HIGH`, `med` ke `MEDIUM`, `low` ke `LOW`.
`SessionEndTime`	`additional.fields.value.string_value` dengan kunci `SessionEndTime`	Waktu akhir sesi.
`SessionID`	`network.session_id`	ID sesi.
`SessionStartTime`	`metadata.event_timestamp`	Waktu mulai sesi.
`SourceIP`	`principal.ip`, `principal.asset.ip`, `src.ip`, `src.asset.ip`	Alamat IP sumber.
`SourcePort`	`principal.port`, `src.port`	Port sumber.
`SrcIP`	`principal.ip`, `principal.asset.ip`	Alamat IP sumber.
`SrcPort`	`principal.port`	Port sumber.
`TemporaryAccessDuration`	`network.session_duration.seconds`	Durasi akses sementara.
`Timestamp`	`metadata.event_timestamp`	Stempel waktu peristiwa.
`Transport`	`network.ip_protocol`	Protokol transpor. Dikonversi ke huruf besar dan diuraikan menggunakan file include.
`UploadedFileNames`	`security_result.about.labels.value` dengan kunci `UploadedFileNames`	Nama file yang diupload.
`URL`	`target.url`	URL yang terlibat dalam peristiwa.
`UserAgent`	`network.http.user_agent`	String agen pengguna. Juga diuraikan dan dipetakan ke `network.http.parsed_user_agent`.
`UserID`	`principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	ID pengguna.
`UserUID`	`target.user.product_object_id`	UID pengguna.
`VirtualNetworkID`	`principal.resource.product_object_id`	ID jaringan virtual.
`WAFAction`	`security_result.about.labels.value` dengan kunci `WAFAction`	Tindakan yang dilakukan oleh Web Application Firewall (WAF).
`WAFAttackScore`	`security_result.about.resource.attribute.labels.value` dengan kunci `WAFAttackScore`	Skor serangan yang ditetapkan oleh WAF.
`WAFFlags`	`security_result.about.resource.attribute.labels.value` dengan kunci `WAFFlags`	Flag WAF.
`WAFMatchedVar`	(Tidak dipetakan)	Tidak dipetakan ke objek IDM.
`WAFProfile`	`security_result.about.labels.value` dengan kunci `WAFProfile`	Profil WAF.
`WAFRCEAttackScore`	`security_result.about.resource.attribute.labels.value` dengan kunci `WAFRCEAttackScore`	Skor serangan Eksekusi Kode Jarak Jauh (RCE) WAF.
`WAFRuleID`	`security_result.threat_id`, `security_result.about.labels.value` dengan kunci `WAFRuleID`	ID aturan WAF.
`WAFRuleMessage`	`security_result.rule_name`, `security_result.threat_name`	Pesan yang terkait dengan aturan WAF.
`WAFSQLiAttackScore`	`security_result.about.resource.attribute.labels.value` dengan kunci `WAFSQLiAttackScore`	Skor serangan Injeksi SQL WAF.
`WAFXSSAttackScore`	`security_result.about.resource.attribute.labels.value` dengan kunci `WAFXSSAttackScore`	Skor serangan Pembuatan Skrip Lintas Situs (XSS) WAF.
`ZoneID`	`additional.fields.value.string_value` dengan kunci `ZoneID`	ID Zona.
`event.idm.read_only_udm.metadata.event_type`	`metadata.event_type`	Jenis peristiwa. Ditetapkan oleh parser berdasarkan data log. Setelan defaultnya adalah `GENERIC_EVENT` jika tidak ditetapkan atau jika peristiwa `NETWORK_DNS` tidak memiliki akun utama atau target. Dapat berupa `NETWORK_DNS`, `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `USER_RESOURCE_UPDATE_CONTENT`, atau `GENERIC_EVENT`.
`event.idm.read_only_udm.metadata.log_type`	`metadata.log_type`	Jenis log, ditetapkan ke "CLOUDFLARE".
`event.idm.read_only_udm.metadata.product_deployment_id`	`metadata.product_deployment_id`	ID deployment produk.
`event.idm.read_only_udm.metadata.product_log_id`	`metadata.product_log_id`	ID log produk.
`event.idm.read_only_udm.metadata.product_name`	`metadata.product_name`	Nama produk. Ditetapkan oleh parser berdasarkan data log. Dapat berupa "Cloudflare Gateway DNS", "Cloudflare Gateway HTTP", "Cloudflare Audit", "Web Application Firewall".
`event.idm.read_only_udm.metadata.vendor_name`	`metadata.vendor_name`	Nama vendor, ditetapkan ke "Cloudflare".
`event.idm.read_only_udm.metadata.event_timestamp`	`metadata.event_timestamp`	Stempel waktu peristiwa.
`event.idm.read_only_udm.network.application_protocol`	`network.application_protocol`	Protokol aplikasi yang digunakan dalam koneksi jaringan.
`event.idm.read_only_udm.network.direction`	`network.direction`	Arah koneksi jaringan. Tetapkan ke `OUTBOUND` jika `EgressIP` dan `SourceIP` ada.
`event.idm.read_only_udm.network.dns.answers`	`network.dns.answers`	Jawaban DNS.
`event.idm.read_only_udm.network.dns.questions`	`network.dns.questions`	Pertanyaan DNS.
`event.idm.read_only_udm.network.http.method`	`network.http.method`	Metode HTTP.
`event.idm.read_only_udm.network.http.parsed_user_agent`	`network.http.parsed_user_agent`	Agen pengguna yang diuraikan.
`event.idm.read_only_udm.network.http.referral_url`	`network.http.referral_url`	URL rujukan HTTP.
`event.idm.read_only_udm.network.http.response_code`	`network.http.response_code`	Kode respons HTTP.
`event.idm.read_only_udm.network.http.user_agent`	`network.http.user_agent`	Agen pengguna HTTP.
`event.idm.read_only_udm.network.ip_protocol`	`network.ip_protocol`	Protokol IP.
`event.idm.read_only_udm.network.received_bytes`	`network.received_bytes`	Jumlah byte yang diterima.
`event.idm.read_only_udm.network.sent_bytes`	`network.sent_bytes`	Jumlah byte yang dikirim.
`event.idm.read_only_udm.network.session_duration.seconds`	`network.session_duration.seconds`	Durasi sesi jaringan dalam hitungan detik.
`event.idm.read_only_udm.network.session_id`	`network.session_id`	ID sesi jaringan.
`event.idm.read_only_udm.network.tls.cipher`	`network.tls.cipher`	Suite cipher TLS.
`event.idm.read_only_udm.network.tls.client.server_name`	`network.tls.client.server_name`	Nama server klien TLS.
`event.idm.read_only_udm.network.tls.version`	`network.tls.version`	Versi TLS.
`event.idm.read_only_udm.principal.asset.attribute.labels`	`principal.asset.attribute.labels`	Label yang terkait dengan aset utama.
`event.idm.read_only_udm.principal.asset.hostname`	`principal.asset.hostname`	Nama host aset utama.
`event.idm.read_only_udm.principal.asset.ip`	`principal.asset.ip`	Alamat IP aset utama.
`event.idm.read_only_udm.principal.asset_id`	`principal.asset_id`	ID aset utama.
`event.idm.read_only_udm.principal.hostname`	`principal.hostname`	Nama host akun utama.
`event.idm.read_only_udm.principal.ip`	`principal.ip`	Alamat IP akun utama.
`event.idm.read_only_udm.principal.location.country_or_region`	`principal.location.country_or_region`	Negara atau wilayah lokasi akun utama.
`event.idm.read_only_udm.principal.location.name`	`principal.location.name`	Nama lokasi akun utama.
`event.idm.read_only_udm.principal.port`	`principal.port`	Port yang digunakan oleh akun utama.
`event.idm.read_only_udm.principal.resource.product_object_id`	`principal.resource.product_object_id`	ID objek produk dari resource akun utama.
`event.idm.read_only_udm.principal.url`	`principal.url`	URL yang terkait dengan akun utama.
`event.idm.read_only_udm.principal.user.attribute.labels`	`principal.user.attribute.labels`	Label yang terkait dengan pengguna utama.
`event.idm.read_only_udm.principal.user.email_addresses`	`principal.user.email_addresses`	Alamat email pengguna utama.
`event.idm.read_only_udm.principal.user.first_name`	`principal.user.first_name`	Nama depan pengguna utama.
`event.idm.read_only_udm.principal.user.last_name`	`principal.user.last_name`	Nama belakang pengguna utama.
`event.idm.read_only_udm.principal.user.product_object_id`	`principal.user.product_object_id`	ID objek produk dari pengguna utama.
`event.idm.read_only_udm.principal.user.userid`	`principal.user.userid`	ID pengguna pengguna utama.
`event.idm.read_only_udm.principal.user.user_display_name`	`principal.user.user_display_name`	Nama tampilan pengguna utama.
`event.idm.read_only_udm.src.asset.ip`	`src.asset.ip`	Alamat IP aset sumber.
`event.idm.read_only_udm.src.ip`	`src.ip`	Alamat IP sumber.
`event.idm.read_only_udm.src.port`	`src.port`	Port sumber.
`event.idm.read_only_udm.target.administrative_domain`	`target.administrative_domain`	Domain administratif target.
`event.idm.read_only_udm.target.asset.hostname`	`target.asset.hostname`	Nama host aset target.
`event.idm.read_only_udm.target.asset.ip`	`target.asset.ip`	Alamat IP aset target.
`event.idm.read_only_udm.target.file.mime_type`	`target.file.mime_type`	Jenis MIME file target.
`event.idm.read_only_udm.target.file.md5`	`target.file.md5`	Hash MD5 file target.
`event.idm.read_only_udm.target.file.sha1`	`target.file.sha1`	Hash SHA1 file target.
`event.idm.read_only_udm.target.file.sha256`	`target.file.sha256`	Hash SHA256 file target.
`event.idm.read_only_udm.target.file.size`	`target.file.size`	Ukuran file target.
`event.idm.read_only_udm.target.hostname`	`target.hostname`	Nama host target.
`event.idm.read_only_udm.target.ip`	`target.ip`	Alamat IP target.
`event.idm.read_only_udm.target.location.country_or_region`	`target.location.country_or_region`	Negara atau wilayah lokasi target.
`event.idm.read_only_udm.target.port`	`target.port`	Port target.
`event.idm.read_only_udm.target.resource.attribute.labels`	`target.resource.attribute.labels`	Label yang terkait dengan resource target.
`event.idm.read_only_udm.target.resource.id`	`target.resource.id`	ID resource target.
`event.idm.read_only_udm.target.resource.product_object_id`	`target.resource.product_object_id`	ID objek produk dari resource target.
`event.idm.read_only_udm.target.resource.resource_subtype`	`target.resource.resource_subtype`	Subjenis resource dari resource target.
`event.idm.read_only_udm.target.url`	`target.url`	URL target.
`event.idm.read_only_udm.target.user.email_addresses`	`target.user.email_addresses`	Alamat email pengguna target.
`event.idm.read_only_udm.target.user.product_object_id`	`target.user.product_object_id`	ID objek produk dari pengguna target.
`event.idm.read_only_udm.security_result.about.file.full_path`	`security_result.about.file.full_path`	Jalur lengkap file yang terlibat dalam hasil keamanan.
`event.idm.read_only_udm.security_result.about.labels`	`security_result.about.labels`	Label yang terkait dengan hasil keamanan.
`event.idm.read_only_udm.security_result.about.resource.attribute.labels`	`security_result.about.resource.attribute.labels`	Label yang terkait dengan resource dalam hasil keamanan.
`event.idm.read_only_udm.security_result.action`	`security_result.action`	Tindakan yang diambil dalam hasil keamanan.
`event.idm.read_only_udm.security_result.detection_fields`	`security_result.detection_fields`	Kolom deteksi dalam hasil keamanan.
`event.idm.read_only_udm.security_result.description`	`security_result.description`	Deskripsi hasil keamanan.
`event.idm.read_only_udm.security_result.rule_id`	`security_result.rule_id`	ID aturan dari hasil keamanan.
`event.idm.read_only_udm.security_result.rule_name`	`security_result.rule_name`	Nama aturan hasil keamanan.
`event.idm.read_only_udm.security_result.severity`	`security_result.severity`	Tingkat keparahan hasil keamanan.
`event.idm.read_only_udm.security_result.summary`	`security_result.summary`	Ringkasan hasil keamanan.
`event.idm.read_only_udm.security_result.threat_id`	`security_result.threat_id`	ID ancaman dari hasil keamanan.
`event.idm.read_only_udm.security_result.threat_name`	`security_result.threat_name`	Nama ancaman dari hasil keamanan.
`event.idm.read_only_udm.extensions.auth.type`	`extensions.auth.type`	Jenis autentikasi. Tetapkan ke `MACHINE` untuk peristiwa login dan logout.
`event.idm.read_only_udm.about`	`about`	Informasi tentang.
`event.idm.read_only_udm.additional.fields`	`additional.fields`	Kolom tambahan.
`event.idm.read_only_udm.intermediary`	`intermediary`	Informasi perantara.

Perubahan

2024-02-19

Perbaikan Bug:
Jika tidak ada data mesin utama dan target, "metadata.event_type" akan dipetakan ke "GENERIC_EVENT".
Jika kolom "Datetime" tidak ada dan kolom "Timestamp" ada, petakan "Timestamp" ke "metadata.event_timestamp".
Memetakan "ClientIP" ke "principal.ip".
Memetakan "RayID" ke "metadata.product_log_id".
Memetakan "EdgeResponseStatus" ke "network.http.response_code".
Memetakan "ClientRequestMethod" ke "network.http.method".
Memetakan "ClientRequestURI" ke "target.uri".
Memetakan "ClientRequestHost" ke "target.hostname".

2024-01-31

Memetakan "BotScore" ke "security_result.detection_fields".
Pemetaan "principal.hostname", "target.hostname", "principal.asset.hostname", dan "target.asset.hostname" yang diselaraskan.
Pemetaan "principal.ip", "target.ip", "principal.asset.ip", dan "target.asset.ip" yang diselaraskan.

2024-01-08

Jika "Action" berisi "allow", tetapkan "security_result.action" ke "ALLOW".
Menambahkan pemetaan "DeviceName" ke "principal.hostname", "principal.asset.hostname".
Menambahkan pemetaan "SourceIP" ke "principal.ip" untuk log DNS.
Menambahkan pemeriksaan bersyarat null sebelum memetakan "principal" ke "event.idm.read_only_udm.principal".
Menambahkan pemeriksaan kondisional null sebelum memetakan "target" ke "event.idm.read_only_udm.target".

2023-11-22

Memetakan "WAFRuleID" ke "security_result.threat_id".
Memetakan "WAFRuleMessage" ke "security_result.threat_name".
Memetakan "WAFRCEAttackScore", "WAFSQLiAttackScore", "WAFXSSAttackScore", "WAFAttackScore", "WAFFlags" ke "security_result.about.resource.attribute.labels".

2023-10-09

Jika nilai "SecurityAction" null atau tidak ada, tetapkan "security_result.action" ke "ALLOW".

2023-09-26

Pemetaan yang diubah dari menggunakan kolom UDM yang tidak digunakan lagi ke kolom alternatif.
Menambahkan pemetaan dari "security_result.about.labels" ke "security_result.about.resource.attribute.labels".
Menambahkan pemetaan dari "about.labels" ke "security_result.about.resource.attribute.labels".
Menambahkan pemetaan dari "target.resource.id" ke "target.resource.product_object_id".

2023-04-25

Peningkatan untuk memetakan kolom log mentah berikut ke kolom UDM:
Melakukan inisialisasi "EdgeStartTimestamp", "ClientIP", "ClientRequestHost", "ClientRequestURI", "ClientRequestMethod", "Datetime", "ActorEmail", dan "ActorIP" ke null.
Memetakan "AssetExternalID" ke "principal.asset_id".
Memetakan "AssetDisplayName" ke "principal.asset.attribute.labels".
Memetakan "AssetLink" ke "principal.url".
Memetakan "AssetMetadata.userKey" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.clientId" ke "principal.user.userid".
Memetakan "AssetMetadata.anonymous" ke "security_result.detection_fields".
Memetakan "AssetMetadata.nativeApp" ke "security_result.detection_fields".
Memetakan "DetectedTimestamp" ke "metadata.event_timestamp".
Memetakan "FindingTypeDisplayName" ke "security_result.description".
Memetakan "FindingTypeID" ke "security_result.rule_id".
Memetakan "FindingTypeSeverity" ke "security_result.severity".
Memetakan "InstanceID" ke "principal.resource.product_object_id".
Memetakan "IntegrationDisplayName" ke "additional.fields".
Memetakan "IntegrationID" ke "metadata.product_deployment_id".
Memetakan "IntegrationPolicyVendor" ke "additional.fields".
Memetakan "AssetMetadata.customerId" ke "principal.user.userid".
Memetakan "AssetMetadata.primaryEmail" ke "principal.user.email_addresses".
Memetakan "AssetMetadata.agreedToTerms" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.ipWhitelisted" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.lastLoginTime" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.isEnforcedIn2Sv" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.isEnrolledIn2Sv" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.isDelegatedAdmin" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.changePasswordAtNextLogin" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.includeInGlobalAddressList" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.isAdmin" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.suspended" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.url" ke "principal.url".
Memetakan "AssetMetadata.site_admin" ke "principal.user.attribute.labels".
Memetakan "AssetMetadata.login" ke "principal.user.userid".
Memetakan "AssetMetadata.owner.id" ke "principal.user.userid".
Memetakan "AssetMetadata.name.fullName" ke "principal.user.user_display_name".
Memetakan "AssetMetadata.name.givenName" ke "principal.user.first_name".
Memetakan "AssetMetadata.name.familyName" ke "principal.user.last_name".
Memetakan "Diizinkan" ke "security_result.action".
Memetakan "AppDomain" ke "target.administrative_domain".
Memetakan "AppUUID" ke "target.resource.product_object_id".
Memetakan "Koneksi" ke "target.resource.attribute.labels".
Memetakan "Negara" ke "target.location.country_or_region".
Memetakan "CreatedAt" ke "metadata.event_timestamp".
Memetakan "IPAddress" ke "target.ip".
Memetakan "RayID" ke "metadata.product_log_id".
Memetakan "Email" ke "principal.user.email_addresses" dan "target.user.email_addresses".
Memetakan "TemporaryAccessDuration" ke "network.session_duration.seconds".
Memetakan "UserUID" ke "target.user.product_object_id".
Memetakan "UserAgent" ke "network.http.parsed_user_agent".
Memetakan "ClientRequestUserAgent" ke "network.http.parsed_user_agent".
Memetakan "PolicyName" ke "security_result.rule_name".
Memetakan "SessionID" ke "network.session_id".
Memetakan "Transport" ke "network.ip_protocol".
Memetakan "SNI" ke "tls.client.server_name".
Memetakan "DeviceName" ke "principal.asset.attribute.labels".
Memetakan "BytesReceived" ke "network.received_bytes".
Memetakan "BytesSent" ke "network.sent_bytes".
Memetakan "Protocol" ke "network.ip_protocol".
Memetakan "ClientTCPHandshakeDurationMs" ke "additional.fields".
Memetakan "ClientTLSCipher" ke "network.tls.cipher".
Memetakan "ClientTLSHandshakeDurationMs" ke "additional.fields".
Memetakan "ClientTLSVersion" ke "network.tls.version".
Memetakan "ConnectionCloseReason" ke "additional.fields".
Memetakan "ConnectionReuse" ke "additional.fields".
Memetakan "DestinationTunnelID" ke "additional.fields".
Memetakan "EgressIP" ke "principal.ip".
Memetakan "EgressPort" ke "principal.port".
Memetakan "EgressRuleID" ke "additional.fields".
Memetakan "EgressRuleName" ke "additional.fields".
Memetakan "IngressColoName" ke "additional.fields".
Memetakan "Offramp" ke "additional.fields".
Memetakan "OriginIP" ke "target.ip".
Memetakan "OriginPort" ke "target.port".
Memetakan "OriginTLSCertificateIssuer" ke "additional.fields".
Memetakan "OriginTLSCertificateValidationResult" ke "additional.fields".
Memetakan "OriginTLSCipher" ke "additional.fields".
Memetakan "OriginTLSHandshakeDurationMs" ke "additional.fields".
Memetakan "OriginTLSVersion" ke "additional.fields".
Memetakan "RuleEvaluationDurationMs" ke "additional.fields".
Memetakan "SessionEndTime" ke "additional.fields".
Memetakan "SessionStartTime" ke "metadata.event_timestamp".
Memetakan "SourceIP" ke "src.ip".
Memetakan "SourcePort" ke "src.port".
Memetakan "UserID" ke "principal.user.product_object_id".
Memetakan "VirtualNetworkID" ke "principal.resource.product_object_id".

2023-04-06

Peningkatan - Mendeklarasikan kolom "WAFRuleMessage", "WAFAction", "QueryType", "RayID", "Email" di tingkat global.
Memetakan "metadata.event_type" sebagai "NETWORK_UNCATEGORIZED" dengan kolom "QueryName" dan "QueryNameReversed" null.
Ditambahkan pada pemeriksaan error untuk kolom berikut: RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus.
Menambahkan konversi string untuk kolom "SourcePort" dan "DestinationPort".

2022-10-10

Penyempurnaan
Memetakan "metadata.product_name" ke "Web Application Firewall".
Memetakan "metadata.vendor_name" ke "Cloudflare".

2022-05-23

Peningkatan untuk memetakan elemen log mentah berikut ke elemen UDM:
Memetakan 'ClientASN' ke 'network.asn'.
Memetakan 'ClientSSLCipher' ke 'network.tls.cipher'.
Memetakan 'ClientSSLProtocol' ke 'network.tls.version'.
Memetakan 'EdgeResponseContentType' ke 'target.file.mime_type'.
Memetakan 'OriginIP' ke 'intermediary.ip'.
Memetakan 'FirewallMatchesActions' ke 'security_result.action'.
Memetakan 'FirewallMatchesRuleIDs' ke 'security_result.rule_id'.
Memetakan 'FirewallMatchesSources' ke 'security_result.rule_name'.
Memetakan 'WAFRuleID', 'WAFProfile' ke 'security_result.about.labels'.
Memetakan 'CacheCacheStatus', 'CacheResponseBytes', 'CacheResponseStatus', 'ClientDeviceType', 'EdgeColoCode', 'EdgeColoID', 'OriginResponseBytes', 'OriginResponseStatus', 'OriginResponseTime', 'ZoneID' ke 'additional.fields'.