이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Cloudflare 로그 수집

다음에서 지원:

Google SecOps SIEM

개요

이 파서는 다양한 Cloudflare 로그 유형 (DNS, HTTP, 감사, 제로 트러스트, CASB)을 처리합니다. 먼저 공통 필드를 표준화한 다음 QueryName, Action, ID와 같은 특정 필드를 기반으로 조건부 로직을 적용하여 관련 데이터를 추출하고 UDM에 매핑합니다. 또한 데이터 유형 변환, IP 주소 및 해시의 grok 일치를 실행하고 중첩된 JSON 페이로드를 처리합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
Google Cloud IAM에 대한 액세스 권한이 있는지 확인합니다.
Google Cloud Storage에 대한 액세스 권한이 있는지 확인합니다.
Cloudflare에 대한 액세스 권한이 있는지 확인합니다.

Google Cloud Storage 버킷 만들기

Google Cloud 콘솔에 로그인
Cloud Storage 버킷 페이지로 이동합니다.

버킷으로 이동
만들기를 클릭합니다.
버킷 만들기 페이지에서 버킷 정보를 입력합니다. 다음 단계를 완료할 때마다 계속을 클릭하여 다음 단계로 진행합니다.
1. 시작하기 섹션에서 다음을 수행합니다.
  1. 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다 (예: cloudflare-data).
  2. 계층적 네임스페이스를 사용 설정하려면 펼치기 화살표를 클릭하여 파일 지향 및 데이터 집약적인 워크로드에 최적화 섹션을 펼친 다음 이 버킷에서 계층적 네임스페이스 사용 설정을 선택합니다.
  참고: 기존 버킷에는 계층적 네임스페이스를 사용 설정할 수 없습니다.
  1. 버킷 라벨을 추가하려면 펼치기 화살표를 클릭하여 라벨 섹션을 펼칩니다.
  2. 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.
2. 데이터 저장 위치 선택 섹션에서 다음을 수행합니다.
  1. 위치 유형을 선택합니다.
  2. 위치 유형 드롭다운을 사용하여 버킷 내 객체 데이터가 영구적으로 저장될 위치를 선택합니다.
    1. 이중 리전 위치 유형을 선택하는 경우 관련 체크박스를 사용하여 터보 복제를 사용 설정할 수도 있습니다.
  3. 버킷 간 복제를 설정하려면 버킷 간 복제 설정 섹션을 펼칩니다.
3. 데이터의 스토리지 클래스 선택 섹션에서 버킷의 기본 스토리지 클래스를 선택하거나, 버킷 데이터의 자동 스토리지 클래스 관리에 자동 클래스를 선택합니다.
4. 객체 액세스를 제어하는 방식 선택 섹션에서 아니요를 선택하여 공개 액세스 방지를 적용하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.
  
  참고: 프로젝트의 공개 액세스 방지가 프로젝트의 조직 정책에 의해 이미 시행된 경우 공개 액세스 방지 체크박스가 잠겨 있습니다.
5. 객체 데이터 보호 방법 선택 섹션에서 다음을 수행합니다.
  1. 데이터 보호에서 버킷에 설정할 옵션을 선택합니다.
  2. 객체 데이터를 암호화하는 방법을 선택하려면 데이터 암호화라는 펼치기 화살표를 클릭하고 데이터 암호화 방법을 선택합니다.
만들기를 클릭합니다.

Google Cloud 서비스 계정 만들기

IAM 및 관리자 > 서비스 계정으로 이동합니다.
새 서비스 계정 만들기
설명이 포함된 이름을 지정합니다 (예: cloudflare-logs).
이전 단계에서 만든 GCS 버킷에 대한 스토리지 객체 생성자 역할을 서비스 계정에 부여합니다.
서비스 계정의 SSH 키를 만듭니다.
서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.

Google Cloud Storage에 Cloudflare IAM 사용 설정

저장용량 > 브라우저 > 버킷 > 권한으로 이동합니다.
스토리지 객체 관리자 권한이 있는 구성원 logpush@cloudflare-data.iam.gserviceaccount.com를 추가합니다.

Cloudflare 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정 > 피드로 이동합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다 (예: Cloudflare 로그).
소스 유형으로 Google Cloud Storage를 선택합니다.
로그 유형으로 Cloudflare를 선택합니다.
Chronicle 서비스 계정으로 서비스 계정 가져오기를 클릭합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- 스토리지 버킷 URI: gs://my-bucket/<value> 형식의 Google Cloud Storage 버킷 URL입니다.
- URI: 하위 디렉터리가 포함된 디렉터리를 선택합니다.
- 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.
참고: Delete transferred files 또는 Delete transferred files and empty directories 옵션을 선택하는 경우 서비스 계정에 적절한 권한을 부여했는지 확인하세요.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

Google Cloud Storage로 로그를 전송하도록 Cloudflare 구성

Cloudflare 대시보드에 로그인합니다.
Logpush와 함께 사용할 엔터프라이즈 계정 또는 도메인 (또는 영역)을 선택합니다.
분석 및 로그 > Logpush로 이동합니다.
Logpush 만들기 작업을 선택합니다.
대상 선택에서 Google Cloud Storage를 선택합니다.
다음 대상 세부정보를 입력하거나 선택합니다.
- 버킷: GCS 버킷 이름
- 경로: 스토리지 컨테이너 내 버킷 위치
- 체크박스: 로그를 일일 하위 폴더로 정리 (권장)
참고: 버킷에 스토리지 객체 관리자 역할이 있는 사용자로 Cloudflare의 IAM이 있는지 확인합니다.
계속을 클릭합니다.
소유권 인증:
1. Cloudflare에서 버킷에 파일을 전송합니다.
2. 토큰을 복사하여 붙여넣습니다.
  1. Google Cloud 콘솔 > 저장소 > Cloudflare 버킷에 로그인합니다.
  2. 소유권 주장 파일을 엽니다.
  3. 소유권 토큰을 복사합니다.
  4. Cloudflare Console에 소유권 토큰을 입력합니다.
  5. 계속을 선택합니다.
3. 버킷에 푸시할 데이터 세트를 선택합니다.
logpush 작업을 구성합니다.
1. 작업 이름을 입력합니다.
2. 로그 일치 시에서 로그에 포함하거나 로그에서 삭제할 이벤트를 선택할 수 있습니다.
참고: 일부 데이터 세트에는 이 옵션이 제공되지 않습니다.
1. 다음 필드 전송: 모든 로그를 푸시하도록 선택하거나 푸시할 로그를 선택합니다.
제출을 선택하여 구성을 완료합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`AccountID`	`target.resource.id`, `target.resource.product_object_id`	이벤트와 연결된 계정 ID입니다.
`Action`	`security_result.action`	이벤트에 따라 취해진 조치입니다. `allow` 또는 `allowed*`: `ALLOW`가 됩니다. `unknown`의 결과는 `UNKNOWN_ACTION`입니다. 다른 값은 `BLOCK`를 생성합니다. 액세스 로그의 경우 `login`는 `USER_LOGIN`에 매핑되고, `logout`는 `USER_LOGOUT`에 매핑되며, 이메일이 있는 경우 다른 값은 `USER_RESOURCE_ACCESS`에 매핑됩니다.
`ActionResult`	`security_result.action`	`true`이면 `ALLOW`에 매핑됩니다. `false`이면 `BLOCK`에 매핑됩니다. 그렇지 않으면 `UNKNOWN_ACTION`에 매핑됩니다.
`ActionType`	`security_result.description`	수행된 작업에 대한 설명입니다.
`ActorEmail`	`principal.user.email_addresses`	이벤트를 시작한 행위자의 이메일 주소입니다.
`ActorID`	`principal.user.product_object_id`	이벤트를 시작한 행위자의 ID입니다.
`ActorIP`	`principal.ip`, `principal.asset.ip`	이벤트를 시작한 행위자의 IP 주소입니다.
`Allowed`	`security_result.action`	`true`이면 `ALLOW`에 매핑됩니다. 그렇지 않으면 `BLOCK`에 매핑됩니다.
`AppDomain`	`target.administrative_domain`	이벤트와 관련된 애플리케이션의 도메인입니다.
`AppUUID`	`target.resource.product_object_id`	이벤트와 관련된 애플리케이션의 UUID입니다.
`AssetDisplayName`	키가 `AssetDisplayName`인 경우 `principal.asset.attribute.labels.value`	저작물의 표시 이름입니다.
`AssetExternalID`	`principal.asset_id`('Cloudflare:' 접두사 사용)	저작물의 외부 ID입니다.
`AssetLink`	`principal.url`	저작물과 연결된 링크입니다.
`AssetMetadata.agreedToTerms`	키가 `agreedToTerms`인 경우 `principal.user.attribute.labels.value`	사용자가 약관에 동의했는지 여부
`AssetMetadata.changePasswordAtNextLogin`	키가 `changePasswordAtNextLogin`인 경우 `principal.user.attribute.labels.value`	사용자가 다음에 로그인할 때 비밀번호를 변경해야 하는지 여부입니다.
`AssetMetadata.clientId`	`principal.user.userid`	저작물 메타데이터의 클라이언트 ID
`AssetMetadata.customerId`	`principal.user.userid`	저작물 메타데이터의 고객 ID입니다.
`AssetMetadata.familyName`	`principal.user.last_name`	저작물 메타데이터에서 가져온 사용자의 성입니다.
`AssetMetadata.givenName`	`principal.user.first_name`	저작물 메타데이터에서 가져온 사용자의 이름입니다.
`AssetMetadata.includeInGlobalAddressList`	키가 `includeInGlobalAddressList`인 경우 `principal.user.attribute.labels.value`	사용자가 전체 주소록에 포함되는지 여부입니다.
`AssetMetadata.ipWhitelisted`	키가 `ipWhitelisted`인 경우 `principal.user.attribute.labels.value`	사용자가 IP 허용 목록에 있는지 여부입니다.
`AssetMetadata.isAdmin`	키가 `isAdmin`인 경우 `principal.user.attribute.labels.value`	사용자가 관리자인지 여부입니다.
`AssetMetadata.isDelegatedAdmin`	키가 `isDelegatedAdmin`인 경우 `principal.user.attribute.labels.value`	사용자가 위임받은 관리자인지 여부입니다.
`AssetMetadata.isEnforcedIn2Sv`	키가 `isEnforcedIn2Sv`인 경우 `principal.user.attribute.labels.value`	사용자에게 2단계 인증이 시행되는지 여부입니다.
`AssetMetadata.isEnrolledIn2Sv`	키가 `isEnrolledIn2Sv`인 경우 `principal.user.attribute.labels.value`	사용자가 2단계 인증에 등록되어 있는지 여부입니다.
`AssetMetadata.kind`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`AssetMetadata.lastLoginTime`	키가 `lastLoginTime`인 경우 `principal.user.attribute.labels.value`	사용자의 마지막 로그인 시간입니다.
`AssetMetadata.login`	`principal.user.userid`	저작물 메타데이터의 로그인 이름
`AssetMetadata.name.familyName`	`principal.user.last_name`	저작물 메타데이터의 성.
`AssetMetadata.name.fullName`	`principal.user.user_display_name`	저작물 메타데이터의 전체 이름입니다.
`AssetMetadata.name.givenName`	`principal.user.first_name`	저작물 메타데이터의 이름.
`AssetMetadata.nativeApp`	키가 `nativeApp`인 경우 `security_result.detection_fields.value`	앱이 네이티브인지 여부입니다.
`AssetMetadata.owner.id`	`principal.user.userid`	저작물 메타데이터의 소유자 ID입니다.
`AssetMetadata.primaryEmail`	`principal.user.email_addresses`	저작물 메타데이터의 기본 이메일입니다.
`AssetMetadata.scopes`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`AssetMetadata.site_admin`	키가 `site_admin`인 경우 `principal.user.attribute.labels.value`	사용자가 사이트 관리자인지 여부입니다.
`AssetMetadata.suspended`	키가 `suspended`인 경우 `principal.user.attribute.labels.value`	사용자가 정지되었는지 여부입니다.
`AssetMetadata.url`	`principal.url`	저작물 메타데이터의 URL입니다.
`AssetMetadata.userKey`	키가 `userKey`인 경우 `principal.user.attribute.labels.value`	저작물 메타데이터의 사용자 키입니다.
`BlockedFileHash`	`target.file.md5`, `target.file.sha1`, `target.file.sha256`	차단된 파일의 해시입니다. grok를 사용하여 파싱하여 md5, sha1 또는 sha256을 추출합니다.
`BlockedFileName`	`security_result.about.file.full_path`	차단된 파일의 이름입니다.
`BlockedFileReason`	`security_result.summary`	파일을 차단한 이유입니다.
`BlockedFileSize`	`target.file.size`	차단된 파일의 크기입니다.
`BotScore`	키가 `BotScore`인 경우 `security_result.detection_fields.value`	요청에 할당된 봇 점수입니다.
`BytesReceived`	`network.received_bytes`	수신된 바이트 수입니다.
`BytesSent`	`network.sent_bytes`	전송된 바이트 수입니다.
`CacheCacheStatus`	키가 `CacheCacheStatus`인 경우 `additional.fields.value.string_value`	캐시 상태입니다.
`CacheResponseBytes`	키가 `CacheResponseBytes`인 경우 `additional.fields.value.string_value`	캐시된 응답의 바이트 수입니다.
`CacheResponseStatus`	키가 `CacheResponseStatus`인 경우 `additional.fields.value.string_value`	캐시된 응답의 상태 코드입니다.
`ClientASN`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`ClientCountry`	`principal.location.country_or_region`	고객의 국가입니다.
`ClientDeviceType`	키가 `ClientDeviceType`인 경우 `additional.fields.value.string_value`	클라이언트 기기의 유형입니다.
`ClientIP`	`principal.ip`, `principal.asset.ip`	클라이언트의 IP 주소입니다.
`ClientRequestMethod`	`network.http.method`	클라이언트에서 사용하는 HTTP 요청 메서드입니다.
`ClientRequestHost`	`target.hostname`, `target.asset.hostname`	클라이언트에서 요청한 호스트 이름입니다.
`ClientRequestPath`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`ClientRequestProtocol`	`network.application_protocol`	클라이언트 요청에 사용된 프로토콜 (예: HTTP, HTTPS). 프로토콜 버전이 삭제됩니다.
`ClientRequestReferer`	`network.http.referral_url`	클라이언트 요청의 리퍼러 URL입니다.
`ClientRequestURI`	`target.url` (`ClientRequestHost`와 결합된 경우)	클라이언트가 요청한 URI입니다.
`ClientRequestUserAgent`	`network.http.user_agent`	클라이언트 요청의 사용자 에이전트입니다. 또한 파싱되어 `network.http.parsed_user_agent`에 매핑됩니다.
`ClientSSLCipher`	`network.tls.cipher`	클라이언트에서 사용하는 SSL 암호화입니다.
`ClientSSLProtocol`	`network.tls.version`	클라이언트에서 사용하는 SSL 프로토콜입니다.
`ClientSrcPort`	`principal.port`	클라이언트의 소스 포트입니다.
`ClientTCPHandshakeDurationMs`	키가 `ClientTCPHandshakeDurationMs`인 경우 `additional.fields.value.string_value`	클라이언트 TCP 핸드셰이크의 기간입니다.
`ClientTLSHandshakeDurationMs`	키가 `ClientTLSHandshakeDurationMs`인 경우 `additional.fields.value.string_value`	클라이언트 TLS 핸드셰이크 시간입니다.
`ClientTLSVersion`	`network.tls.version`	클라이언트에서 사용하는 TLS 버전입니다.
`ColoID`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`Connection`	키가 `Connection`인 경우 `target.resource.attribute.labels.value`	연결 유형 (예: saml)
`ConnectionCloseReason`	키가 `ConnectionCloseReason`인 경우 `additional.fields.value.string_value`	연결 종료 이유입니다.
`ConnectionReuse`	키가 `ConnectionReuse`인 경우 `additional.fields.value.string_value`	연결 재사용 여부입니다.
`Country`	`target.location.country_or_region`	이벤트와 연결된 국가입니다.
`CreatedAt`	`metadata.event_timestamp`	이벤트 생성 타임스탬프입니다.
`Datetime`	`metadata.event_timestamp`	이벤트 날짜 및 시간입니다.
`DestinationIP`	`target.ip`, `target.asset.ip`	대상 IP 주소입니다.
`DestinationPort`	`target.port`	대상 포트.
`DestinationTunnelID`	키가 `DestinationTunnelID`인 경우 `additional.fields.value.string_value`	대상 터널의 ID입니다.
`DeviceID`	`principal.asset_id`('Cloudflare:' 접두사 사용)	기기의 ID입니다.
`DeviceName`	`principal.hostname`, `principal.asset.hostname`, `principal.asset.attribute.labels.value`(키가 `DeviceName`인 경우)	기기 이름입니다.
`DownloadedFileNames`	키가 `DownloadFileNames`인 경우 `security_result.about.labels.value`	다운로드한 파일의 이름입니다.
`DstIP`	`target.ip`, `target.asset.ip`	대상 IP 주소입니다.
`DstPort`	`target.port`	대상 포트.
`EdgeColoCode`	키가 `EdgeColoCode`인 경우 `additional.fields.value.string_value`	Cloudflare 에지 위치 코드입니다.
`EdgeColoID`	키가 `EdgeColoID`인 경우 `additional.fields.value.string_value`	Cloudflare 에지 위치 ID입니다.
`EdgeEndTimestamp`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`EdgeResponseBytes`	`network.received_bytes`	에지에서 응답한 바이트 수입니다.
`EdgeResponseContentType`	`target.file.mime_type`	에지 응답의 콘텐츠 유형입니다.
`EdgeResponseStatus`	`network.http.response_code`	에지 응답의 상태 코드입니다.
`EdgeServerIP`	`target.ip`, `target.asset.ip`	에지 서버의 IP 주소입니다.
`EdgeStartTimestamp`	`metadata.event_timestamp`	에지에서 요청이 시작된 타임스탬프입니다.
`Email`	`principal.user.email_addresses`, `target.user.email_addresses`	이벤트와 연결된 이메일 주소입니다.
`EgressColoName`	키가 `EgressColoName`인 경우 `additional.fields.value.string_value`	이그레스 콜로의 이름입니다.
`EgressIP`	`principal.ip`, `principal.asset.ip`	이그레스 IP 주소 `network.direction`을 `OUTBOUND`로 설정합니다.
`EgressPort`	`principal.port`	이그레스 포트
`EgressRuleID`	키가 `EgressRuleID`인 경우 `additional.fields.value.string_value`	이그레스 규칙의 ID입니다.
`EgressRuleName`	키가 `EgressRuleName`인 경우 `additional.fields.value.string_value`	이그레스 규칙의 이름입니다.
`FindingTypeDisplayName`	`security_result.description`	발견 항목 유형의 표시 이름입니다.
`FindingTypeID`	`security_result.rule_id`	발견 항목 유형의 ID입니다.
`FindingTypeSeverity`	`security_result.severity`	발견 항목 유형의 심각도입니다.
`FirewallMatchesActions`	`security_result.action`	방화벽 규칙에 의해 수행된 작업입니다. `allow`, `Allow`, `ALLOW`, `skip`, `SKIP`, `Skip`는 `ALLOW`에 매핑됩니다. `challengeSolved` 및 `jschallengeSolved`는 `ALLOW_WITH_MODIFICATION`에 매핑됩니다. `drop` 및 `block`는 `BLOCK`에 매핑됩니다. 다른 값은 `UNKNOWN_ACTION`에 매핑됩니다.
`FirewallMatchesRuleIDs`	`security_result.rule_id` (첫 번째 ID의 경우) 이후 ID는 새 `security_result` 객체를 만듭니다.	일치한 방화벽 규칙의 ID입니다.
`FirewallMatchesSources`	`security_result.rule_name`	일치한 방화벽 규칙의 소스입니다.
`HTTPHost`	`target.hostname`	HTTP 호스트
`HTTPMethod`	`network.http.method`	HTTP 메서드
`HTTPVersion`	`network.application_protocol`	값에 'HTTP'가 포함된 경우 `network.application_protocol`를 `HTTP`로 설정합니다.
`ID`	`metadata.product_log_id`	이벤트 ID입니다.
`IngressColoName`	키가 `IngressColoName`인 경우 `additional.fields.value.string_value`	인그레스 콜로의 이름입니다.
`InstanceID`	`principal.resource.product_object_id`	인스턴스의 ID입니다.
`IntegrationDisplayName`	키가 `IntegrationDisplayName`인 경우 `additional.fields.value.string_value`	통합의 표시 이름입니다.
`IntegrationID`	`metadata.product_deployment_id`	통합의 ID입니다.
`IntegrationPolicyVendor`	키가 `IntegrationPolicyVendor`인 경우 `additional.fields.value.string_value`	통합 정책의 공급업체입니다.
`IPAddress`	`target.ip`, `target.asset.ip`	이벤트와 연결된 IP 주소입니다.
`IsIsolated`	키가 `IsIsolated`인 경우 `about.labels.value`, 키가 `IsIsolated`인 경우 `security_result.about.resource.attribute.labels.value`	이슈가 격리되었는지 여부입니다.
`Location`	`principal.location.name`	이벤트와 연결된 위치입니다.
`NewValue`	키가 `NewValue`인 경우 `security_result.about.labels.value`	업데이트 후 새 값입니다.
`Offramp`	키가 `Offramp`인 경우 `additional.fields.value.string_value`	연결에 사용되는 오프램프입니다.
`OldValue`	키가 `OldValue`인 경우 `security_result.about.labels.value`	업데이트 전의 이전 값입니다.
`OriginIP`	`intermediary.ip`, `target.ip`, `target.asset.ip`	출처 IP 주소입니다.
`OriginPort`	`target.port`	소스 포트
`OriginResponseBytes`	키가 `OriginResponseBytes`인 경우 `additional.fields.value.string_value`	출처 응답의 바이트 수입니다.
`OriginResponseStatus`	키가 `OriginResponseStatus`인 경우 `additional.fields.value.string_value`	출처 응답의 상태 코드입니다.
`OriginResponseTime`	키가 `OriginResponseTime`인 경우 `additional.fields.value.string_value`	출처의 응답 시간입니다.
`OriginSSLProtocol`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`OriginTLSCertificateIssuer`	키가 `OriginTLSCertificateIssuer`인 경우 `additional.fields.value.string_value`	출처 TLS 인증서의 발급자입니다.
`OriginTLSCertificateValidationResult`	키가 `OriginTLSCertificateValidationResult`인 경우 `additional.fields.value.string_value`	출처 TLS 인증서 유효성 검사 결과입니다.
`OriginTLSCipher`	키가 `OriginTLSCipher`인 경우 `additional.fields.value.string_value`	출처 TLS 연결에 사용된 암호화입니다.
`OriginTLSHandshakeDurationMs`	키가 `OriginTLSHandshakeDurationMs`인 경우 `additional.fields.value.string_value`	출처 TLS 핸드셰이크의 기간입니다.
`OriginTLSVersion`	키가 `OriginTLSVersion`인 경우 `additional.fields.value.string_value`	출처에서 사용하는 TLS 버전입니다.
`OwnerID`	`target.user.product_object_id`	소유자의 ID입니다.
`Policy`	`security_result.rule_name`	이벤트와 연결된 정책입니다.
`PolicyID`	`security_result.rule_id`	정책의 ID입니다.
`PolicyName`	`security_result.rule_name`	정책의 이름입니다.
`Protocol`	`network.application_protocol`, `network.ip_protocol`	연결에 사용된 프로토콜입니다. 'tls' 또는 'TLS'가 아닌 경우 대문자로 변환되고 `network.application_protocol`에 매핑됩니다. 그렇지 않으면 include 파일을 사용하여 파싱되고 `network.ip_protocol`에 매핑됩니다.
`PurposeJustificationPrompt`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`PurposeJustificationResponse`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`QueryCategoryIDs`	`security_result.about.labels.value`, `security_result.about.resource.attribute.labels.value`(키가 `QueryCategoryIDs`인 경우)	쿼리 카테고리의 ID입니다.
`QueryName`	`network.dns.questions.name`	DNS 쿼리의 이름입니다. `metadata.event_type`을 `NETWORK_DNS`로, `network.application_protocol`를 `DNS`로 설정합니다.
`QueryNameReversed`	`network.dns.questions.name`	DNS 쿼리의 역방향 이름입니다.
`QuerySize`	`network.sent_bytes`	쿼리 크기입니다.
`QueryType`	`network.dns.questions.type`	DNS 쿼리의 유형입니다. DNS 쿼리 유형 코드를 기반으로 숫자 값에 매핑됩니다.
`RData`	`network.dns.answers.type`, `network.dns.answers.data`	DNS 레코드 데이터 `RData` 배열의 각 요소는 새 `answer` 객체를 만듭니다.
`RayID`	`metadata.product_log_id`	요청과 연결된 레이 ID입니다.
`Referer`	`network.http.referral_url`	리퍼러 URL
`RequestID`	`metadata.product_log_id`	요청의 ID입니다.
`ResolverDecision`	`security_result.summary`	리졸버가 내린 결정입니다.
`ResourceID`	`target.resource.id`, `target.resource.product_object_id`	리소스의 ID입니다.
`ResourceType`	`target.resource.resource_subtype`	리소스의 유형입니다.
`RuleEvaluationDurationMs`	키가 `RuleEvaluationDurationMs`인 경우 `additional.fields.value.string_value`	규칙 평가 기간입니다.
`SNI`	`network.tls.client.server_name`	TLS 클라이언트 hello의 서버 이름 표시 (SNI)
`SecurityAction`	`security_result.action`	취해진 보안 조치 빈 값 또는 `SecurityAction`가 없으면 `ALLOW`에 매핑됩니다. `challengeSolved` 또는 `jschallengeSolved`은 `ALLOW_WITH_MODIFICATION`에 매핑됩니다. `drop` 또는 `block`은 `BLOCK`에 매핑됩니다.
`SecurityLevel`	`security_result.severity`	보안 수준 `high`는 `HIGH`에, `med`는 `MEDIUM`에, `low`는 `LOW`에 매핑됩니다.
`SessionEndTime`	키가 `SessionEndTime`인 경우 `additional.fields.value.string_value`	세션 종료 시간입니다.
`SessionID`	`network.session_id`	세션의 ID입니다.
`SessionStartTime`	`metadata.event_timestamp`	세션 시작 시간입니다.
`SourceIP`	`principal.ip`, `principal.asset.ip`, `src.ip`, `src.asset.ip`	소스 IP 주소입니다.
`SourcePort`	`principal.port`, `src.port`	소스 포트.
`SrcIP`	`principal.ip`, `principal.asset.ip`	소스 IP 주소입니다.
`SrcPort`	`principal.port`	소스 포트.
`TemporaryAccessDuration`	`network.session_duration.seconds`	임시 액세스 기간입니다.
`Timestamp`	`metadata.event_timestamp`	이벤트의 타임스탬프입니다.
`Transport`	`network.ip_protocol`	전송 프로토콜 대문자로 변환되고 포함 파일을 사용하여 파싱됩니다.
`UploadedFileNames`	키가 `UploadedFileNames`인 경우 `security_result.about.labels.value`	업로드된 파일의 이름입니다.
`URL`	`target.url`	이벤트와 관련된 URL입니다.
`UserAgent`	`network.http.user_agent`	사용자 에이전트 문자열 또한 파싱되어 `network.http.parsed_user_agent`에 매핑됩니다.
`UserID`	`principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	사용자의 ID입니다.
`UserUID`	`target.user.product_object_id`	사용자의 UID입니다.
`VirtualNetworkID`	`principal.resource.product_object_id`	가상 네트워크의 ID입니다.
`WAFAction`	키가 `WAFAction`인 경우 `security_result.about.labels.value`	웹 애플리케이션 방화벽 (WAF)에서 취한 조치입니다.
`WAFAttackScore`	키가 `WAFAttackScore`인 경우 `security_result.about.resource.attribute.labels.value`	WAF에서 할당한 공격 점수입니다.
`WAFFlags`	키가 `WAFFlags`인 경우 `security_result.about.resource.attribute.labels.value`	WAF 플래그
`WAFMatchedVar`	(매핑되지 않음)	IDM 객체에 매핑되지 않았습니다.
`WAFProfile`	키가 `WAFProfile`인 경우 `security_result.about.labels.value`	WAF 프로필
`WAFRCEAttackScore`	키가 `WAFRCEAttackScore`인 경우 `security_result.about.resource.attribute.labels.value`	WAF 원격 코드 실행 (RCE) 공격 점수입니다.
`WAFRuleID`	`security_result.threat_id`, `security_result.about.labels.value`(키가 `WAFRuleID`인 경우)	WAF 규칙의 ID입니다.
`WAFRuleMessage`	`security_result.rule_name`, `security_result.threat_name`	WAF 규칙과 연결된 메시지입니다.
`WAFSQLiAttackScore`	키가 `WAFSQLiAttackScore`인 경우 `security_result.about.resource.attribute.labels.value`	WAF SQL 삽입 공격 점수입니다.
`WAFXSSAttackScore`	키가 `WAFXSSAttackScore`인 경우 `security_result.about.resource.attribute.labels.value`	WAF 교차 사이트 스크립팅 (XSS) 공격 점수
`ZoneID`	키가 `ZoneID`인 경우 `additional.fields.value.string_value`	영역 ID입니다.
`event.idm.read_only_udm.metadata.event_type`	`metadata.event_type`	이벤트 유형입니다. 로그 데이터를 기반으로 파서가 설정합니다. 설정하지 않거나 `NETWORK_DNS` 이벤트에 주 구성원 또는 타겟이 없는 경우 기본값은 `GENERIC_EVENT`입니다. `NETWORK_DNS`, `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_RESOURCE_ACCESS`, `USER_RESOURCE_UPDATE_CONTENT`, `GENERIC_EVENT`일 수 있습니다.
`event.idm.read_only_udm.metadata.log_type`	`metadata.log_type`	로그 유형으로, 'CLOUDFLARE'로 설정됩니다.
`event.idm.read_only_udm.metadata.product_deployment_id`	`metadata.product_deployment_id`	제품 배포 ID입니다.
`event.idm.read_only_udm.metadata.product_log_id`	`metadata.product_log_id`	제품 로그 ID입니다.
`event.idm.read_only_udm.metadata.product_name`	`metadata.product_name`	제품 이름입니다. 로그 데이터를 기반으로 파서가 설정합니다. 'Cloudflare 게이트웨이 DNS', 'Cloudflare 게이트웨이 HTTP', 'Cloudflare 감사', '웹 애플리케이션 방화벽'일 수 있습니다.
`event.idm.read_only_udm.metadata.vendor_name`	`metadata.vendor_name`	공급업체 이름으로 'Cloudflare'로 설정됩니다.
`event.idm.read_only_udm.metadata.event_timestamp`	`metadata.event_timestamp`	이벤트의 타임스탬프입니다.
`event.idm.read_only_udm.network.application_protocol`	`network.application_protocol`	네트워크 연결에 사용되는 애플리케이션 프로토콜입니다.
`event.idm.read_only_udm.network.direction`	`network.direction`	네트워크 연결의 방향입니다. `EgressIP` 및 `SourceIP`가 있는 경우 `OUTBOUND`로 설정합니다.
`event.idm.read_only_udm.network.dns.answers`	`network.dns.answers`	DNS 응답
`event.idm.read_only_udm.network.dns.questions`	`network.dns.questions`	DNS 질문
`event.idm.read_only_udm.network.http.method`	`network.http.method`	HTTP 메서드
`event.idm.read_only_udm.network.http.parsed_user_agent`	`network.http.parsed_user_agent`	파싱된 사용자 에이전트입니다.
`event.idm.read_only_udm.network.http.referral_url`	`network.http.referral_url`	HTTP 추천 URL
`event.idm.read_only_udm.network.http.response_code`	`network.http.response_code`	HTTP 응답 코드입니다.
`event.idm.read_only_udm.network.http.user_agent`	`network.http.user_agent`	HTTP 사용자 에이전트
`event.idm.read_only_udm.network.ip_protocol`	`network.ip_protocol`	IP 프로토콜
`event.idm.read_only_udm.network.received_bytes`	`network.received_bytes`	수신된 바이트 수입니다.
`event.idm.read_only_udm.network.sent_bytes`	`network.sent_bytes`	전송된 바이트 수입니다.
`event.idm.read_only_udm.network.session_duration.seconds`	`network.session_duration.seconds`	네트워크 세션의 시간(초)입니다.
`event.idm.read_only_udm.network.session_id`	`network.session_id`	네트워크 세션 ID입니다.
`event.idm.read_only_udm.network.tls.cipher`	`network.tls.cipher`	TLS 암호화 스위트
`event.idm.read_only_udm.network.tls.client.server_name`	`network.tls.client.server_name`	TLS 클라이언트 서버 이름입니다.
`event.idm.read_only_udm.network.tls.version`	`network.tls.version`	TLS 버전
`event.idm.read_only_udm.principal.asset.attribute.labels`	`principal.asset.attribute.labels`	기본 저작물과 연결된 라벨입니다.
`event.idm.read_only_udm.principal.asset.hostname`	`principal.asset.hostname`	기본 애셋의 호스트 이름입니다.
`event.idm.read_only_udm.principal.asset.ip`	`principal.asset.ip`	기본 애셋의 IP 주소입니다.
`event.idm.read_only_udm.principal.asset_id`	`principal.asset_id`	기본 저작물의 ID입니다.
`event.idm.read_only_udm.principal.hostname`	`principal.hostname`	주 구성원의 호스트 이름입니다.
`event.idm.read_only_udm.principal.ip`	`principal.ip`	주 구성원의 IP 주소입니다.
`event.idm.read_only_udm.principal.location.country_or_region`	`principal.location.country_or_region`	원장의 위치에 해당하는 국가 또는 지역입니다.
`event.idm.read_only_udm.principal.location.name`	`principal.location.name`	주 구성원의 위치 이름입니다.
`event.idm.read_only_udm.principal.port`	`principal.port`	사용자가 사용하는 포트입니다.
`event.idm.read_only_udm.principal.resource.product_object_id`	`principal.resource.product_object_id`	사용자의 리소스의 제품 객체 ID입니다.
`event.idm.read_only_udm.principal.url`	`principal.url`	사용자와 연결된 URL입니다.
`event.idm.read_only_udm.principal.user.attribute.labels`	`principal.user.attribute.labels`	사용자와 연결된 라벨입니다.
`event.idm.read_only_udm.principal.user.email_addresses`	`principal.user.email_addresses`	관리자 사용자의 이메일 주소입니다.
`event.idm.read_only_udm.principal.user.first_name`	`principal.user.first_name`	관리자 사용자의 이름입니다.
`event.idm.read_only_udm.principal.user.last_name`	`principal.user.last_name`	관리자 사용자의 성입니다.
`event.idm.read_only_udm.principal.user.product_object_id`	`principal.user.product_object_id`	사용자의 제품 객체 ID입니다.
`event.idm.read_only_udm.principal.user.userid`	`principal.user.userid`	기본 사용자의 사용자 ID입니다.
`event.idm.read_only_udm.principal.user.user_display_name`	`principal.user.user_display_name`	관리자 사용자의 표시 이름입니다.
`event.idm.read_only_udm.src.asset.ip`	`src.asset.ip`	소스 애셋의 IP 주소입니다.
`event.idm.read_only_udm.src.ip`	`src.ip`	소스의 IP 주소입니다.
`event.idm.read_only_udm.src.port`	`src.port`	소스의 포트입니다.
`event.idm.read_only_udm.target.administrative_domain`	`target.administrative_domain`	대상의 관리 도메인입니다.
`event.idm.read_only_udm.target.asset.hostname`	`target.asset.hostname`	대상 애셋의 호스트 이름입니다.
`event.idm.read_only_udm.target.asset.ip`	`target.asset.ip`	대상 애셋의 IP 주소입니다.
`event.idm.read_only_udm.target.file.mime_type`	`target.file.mime_type`	대상 파일의 MIME 유형입니다.
`event.idm.read_only_udm.target.file.md5`	`target.file.md5`	대상 파일의 MD5 해시입니다.
`event.idm.read_only_udm.target.file.sha1`	`target.file.sha1`	대상 파일의 SHA1 해시입니다.
`event.idm.read_only_udm.target.file.sha256`	`target.file.sha256`	대상 파일의 SHA256 해시입니다.
`event.idm.read_only_udm.target.file.size`	`target.file.size`	대상 파일의 크기입니다.
`event.idm.read_only_udm.target.hostname`	`target.hostname`	대상의 호스트 이름입니다.
`event.idm.read_only_udm.target.ip`	`target.ip`	대상의 IP 주소입니다.
`event.idm.read_only_udm.target.location.country_or_region`	`target.location.country_or_region`	타겟 위치의 국가 또는 지역입니다.
`event.idm.read_only_udm.target.port`	`target.port`	대상의 포트입니다.
`event.idm.read_only_udm.target.resource.attribute.labels`	`target.resource.attribute.labels`	대상 리소스와 연결된 라벨입니다.
`event.idm.read_only_udm.target.resource.id`	`target.resource.id`	대상 리소스의 ID입니다.
`event.idm.read_only_udm.target.resource.product_object_id`	`target.resource.product_object_id`	대상 리소스의 제품 객체 ID입니다.
`event.idm.read_only_udm.target.resource.resource_subtype`	`target.resource.resource_subtype`	타겟 리소스의 리소스 하위유형입니다.
`event.idm.read_only_udm.target.url`	`target.url`	대상의 URL입니다.
`event.idm.read_only_udm.target.user.email_addresses`	`target.user.email_addresses`	대상 사용자의 이메일 주소입니다.
`event.idm.read_only_udm.target.user.product_object_id`	`target.user.product_object_id`	타겟 사용자의 제품 객체 ID입니다.
`event.idm.read_only_udm.security_result.about.file.full_path`	`security_result.about.file.full_path`	보안 결과와 관련된 파일의 전체 경로입니다.
`event.idm.read_only_udm.security_result.about.labels`	`security_result.about.labels`	보안 결과와 연결된 라벨입니다.
`event.idm.read_only_udm.security_result.about.resource.attribute.labels`	`security_result.about.resource.attribute.labels`	보안 결과의 리소스와 연결된 라벨입니다.
`event.idm.read_only_udm.security_result.action`	`security_result.action`	보안 결과에서 취해진 조치입니다.
`event.idm.read_only_udm.security_result.detection_fields`	`security_result.detection_fields`	보안 결과의 감지 필드
`event.idm.read_only_udm.security_result.description`	`security_result.description`	보안 결과에 대한 설명입니다.
`event.idm.read_only_udm.security_result.rule_id`	`security_result.rule_id`	보안 결과의 규칙 ID입니다.
`event.idm.read_only_udm.security_result.rule_name`	`security_result.rule_name`	보안 결과의 규칙 이름입니다.
`event.idm.read_only_udm.security_result.severity`	`security_result.severity`	보안 결과의 심각도입니다.
`event.idm.read_only_udm.security_result.summary`	`security_result.summary`	보안 결과 요약입니다.
`event.idm.read_only_udm.security_result.threat_id`	`security_result.threat_id`	보안 결과의 위협 ID입니다.
`event.idm.read_only_udm.security_result.threat_name`	`security_result.threat_name`	보안 결과의 위협 이름입니다.
`event.idm.read_only_udm.extensions.auth.type`	`extensions.auth.type`	인증 유형입니다. 로그인 및 로그아웃 이벤트의 경우 `MACHINE`로 설정합니다.
`event.idm.read_only_udm.about`	`about`	정보
`event.idm.read_only_udm.additional.fields`	`additional.fields`	추가 필드
`event.idm.read_only_udm.intermediary`	`intermediary`	중개자 정보

변경사항

2024-02-19

버그 수정:
주 구성원 및 대상 머신 데이터가 없는 경우 'metadata.event_type'을 'GENERIC_EVENT'로 매핑했습니다.
'Datetime' 필드가 없고 'Timestamp' 필드가 있는 경우 'Timestamp'가 'metadata.event_timestamp'에 매핑되었습니다.
'ClientIP'가 'principal.ip'에 매핑되었습니다.
'RayID'가 'metadata.product_log_id'에 매핑되었습니다.
'EdgeResponseStatus'가 'network.http.response_code'에 매핑되었습니다.
'ClientRequestMethod'가 'network.http.method'에 매핑되었습니다.
'ClientRequestURI'가 'target.uri'에 매핑되었습니다.
'ClientRequestHost'가 'target.hostname'에 매핑되었습니다.

2024-01-31

'BotScore'가 'security_result.detection_fields'에 매핑되었습니다.
'principal.hostname', 'target.hostname', 'principal.asset.hostname', 'target.asset.hostname' 매핑이 정렬되었습니다.
'principal.ip', 'target.ip', 'principal.asset.ip', 'target.asset.ip' 매핑이 정렬되었습니다.

2024-01-08

'액션'에 '허용'이 포함된 경우 'security_result.action'을 '허용'으로 설정합니다.
'DeviceName'의 매핑을 'principal.hostname', 'principal.asset.hostname'에 추가했습니다.
DNS 로그의 'SourceIP'가 'principal.ip'에 매핑되도록 추가했습니다.
'principal'을 'event.idm.read_only_udm.principal'에 매핑하기 전에 null 조건부 확인을 추가했습니다.
'target'을 'event.idm.read_only_udm.target'에 매핑하기 전에 null 조건부 검사를 추가했습니다.

2023-11-22

'WAFRuleID'가 'security_result.threat_id'에 매핑되었습니다.
'WAFRuleMessage'가 'security_result.threat_name'에 매핑되었습니다.
'WAFRCEAttackScore', 'WAFSQLiAttackScore', 'WAFXSSAttackScore', 'WAFAttackScore', 'WAFFlags'가 'security_result.about.resource.attribute.labels'에 매핑되었습니다.

2023-10-09

'SecurityAction' 값이 null이거나 없는 경우 'security_result.action'을 'ALLOW'로 설정합니다.

2023-09-26

지원 중단된 UDM 필드 사용에서 대체 필드로 매핑을 수정했습니다.
'security_result.about.labels'에서 'security_result.about.resource.attribute.labels'로의 매핑이 추가되었습니다.
'about.labels'에서 'security_result.about.resource.attribute.labels'로의 매핑이 추가되었습니다.
'target.resource.id'에서 'target.resource.product_object_id'로의 매핑이 추가되었습니다.

2023-04-25

다음 원시 로그 필드를 UDM 필드에 매핑하는 기능이 개선되었습니다.
'EdgeStartTimestamp', 'ClientIP', 'ClientRequestHost', 'ClientRequestURI', 'ClientRequestMethod', 'Datetime', 'ActorEmail', 'ActorIP'를 null로 초기화했습니다.
'AssetExternalID'가 'principal.asset_id'에 매핑되었습니다.
'AssetDisplayName'이 'principal.asset.attribute.labels'에 매핑되었습니다.
'AssetLink'가 'principal.url'에 매핑되었습니다.
'AssetMetadata.userKey'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.clientId'가 'principal.user.userid'에 매핑되었습니다.
'AssetMetadata.anonymous'가 'security_result.detection_fields'에 매핑되었습니다.
'AssetMetadata.nativeApp'이 'security_result.detection_fields'에 매핑되었습니다.
'DetectedTimestamp'가 'metadata.event_timestamp'에 매핑되었습니다.
'FindingTypeDisplayName'이 'security_result.description'에 매핑되었습니다.
'FindingTypeID'가 'security_result.rule_id'에 매핑되었습니다.
'FindingTypeSeverity'가 'security_result.severity'에 매핑되었습니다.
'InstanceID'가 'principal.resource.product_object_id'에 매핑되었습니다.
'IntegrationDisplayName'이 'additional.fields'에 매핑되었습니다.
'IntegrationID'가 'metadata.product_deployment_id'에 매핑되었습니다.
'IntegrationPolicyVendor'가 'additional.fields'에 매핑되었습니다.
'AssetMetadata.customerId'가 'principal.user.userid'에 매핑되었습니다.
'AssetMetadata.primaryEmail'이 'principal.user.email_addresses'에 매핑되었습니다.
'AssetMetadata.agreedToTerms'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.ipWhitelisted'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.lastLoginTime'이 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.isEnforcedIn2Sv'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.isEnrolledIn2Sv'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.isDelegatedAdmin'이 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.changePasswordAtNextLogin'이 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.includeInGlobalAddressList'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.isAdmin'이 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.suspended'가 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.url'이 'principal.url'에 매핑되었습니다.
'AssetMetadata.site_admin'이 'principal.user.attribute.labels'에 매핑되었습니다.
'AssetMetadata.login'이 'principal.user.userid'에 매핑되었습니다.
'AssetMetadata.owner.id'가 'principal.user.userid'에 매핑되었습니다.
'AssetMetadata.name.fullName'이 'principal.user.user_display_name'에 매핑되었습니다.
'AssetMetadata.name.givenName'이 'principal.user.first_name'에 매핑되었습니다.
'AssetMetadata.name.familyName'이 'principal.user.last_name'에 매핑되었습니다.
'Allowed'가 'security_result.action'에 매핑되었습니다.
'AppDomain'이 'target.administrative_domain'에 매핑되었습니다.
'AppUUID'가 'target.resource.product_object_id'에 매핑되었습니다.
'연결'이 'target.resource.attribute.labels'에 매핑되었습니다.
'국가'가 'target.location.country_or_region'에 매핑되었습니다.
'CreatedAt'이 'metadata.event_timestamp'에 매핑되었습니다.
'IPAddress'가 'target.ip'에 매핑되었습니다.
'RayID'가 'metadata.product_log_id'에 매핑되었습니다.
'이메일'이 'principal.user.email_addresses' 및 'target.user.email_addresses'에 매핑되었습니다.
'TemporaryAccessDuration'이 'network.session_duration.seconds'에 매핑되었습니다.
'UserUID'가 'target.user.product_object_id'에 매핑되었습니다.
'UserAgent'가 'network.http.parsed_user_agent'에 매핑되었습니다.
'ClientRequestUserAgent'가 'network.http.parsed_user_agent'에 매핑되었습니다.
'PolicyName'이 'security_result.rule_name'에 매핑되었습니다.
'SessionID'가 'network.session_id'에 매핑되었습니다.
'Transport'가 'network.ip_protocol'에 매핑되었습니다.
'SNI'가 'tls.client.server_name'에 매핑되었습니다.
'DeviceName'이 'principal.asset.attribute.labels'에 매핑되었습니다.
'BytesReceived'가 'network.received_bytes'에 매핑되었습니다.
'BytesSent'가 'network.sent_bytes'에 매핑되었습니다.
'프로토콜'이 'network.ip_protocol'에 매핑되었습니다.
'ClientTCPHandshakeDurationMs'가 'additional.fields'에 매핑되었습니다.
'ClientTLSCipher'가 'network.tls.cipher'에 매핑되었습니다.
'ClientTLSHandshakeDurationMs'가 'additional.fields'에 매핑되었습니다.
'ClientTLSVersion'이 'network.tls.version'에 매핑되었습니다.
'ConnectionCloseReason'이 'additional.fields'에 매핑되었습니다.
'ConnectionReuse'가 'additional.fields'에 매핑되었습니다.
'DestinationTunnelID'가 'additional.fields'에 매핑되었습니다.
'EgressIP'가 'principal.ip'에 매핑되었습니다.
'EgressPort'가 'principal.port'에 매핑되었습니다.
'EgressRuleID'가 'additional.fields'에 매핑되었습니다.
'EgressRuleName'이 'additional.fields'에 매핑되었습니다.
'IngressColoName'이 'additional.fields'에 매핑되었습니다.
'Offramp'가 'additional.fields'에 매핑되었습니다.
'OriginIP'가 'target.ip'에 매핑되었습니다.
'OriginPort'가 'target.port'에 매핑되었습니다.
'OriginTLSCertificateIssuer'가 'additional.fields'에 매핑되었습니다.
'OriginTLSCertificateValidationResult'가 'additional.fields'에 매핑되었습니다.
'OriginTLSCipher'가 'additional.fields'에 매핑되었습니다.
'OriginTLSHandshakeDurationMs'가 'additional.fields'에 매핑되었습니다.
'OriginTLSVersion'이 'additional.fields'에 매핑되었습니다.
'RuleEvaluationDurationMs'가 'additional.fields'에 매핑되었습니다.
'SessionEndTime'이 'additional.fields'에 매핑되었습니다.
'SessionStartTime'가 'metadata.event_timestamp'에 매핑되었습니다.
'SourceIP'가 'src.ip'에 매핑되었습니다.
'SourcePort'가 'src.port'에 매핑되었습니다.
'UserID'가 'principal.user.product_object_id'에 매핑되었습니다.
'VirtualNetworkID'가 'principal.resource.product_object_id'에 매핑되었습니다.

2023-04-06

개선사항 - 'WAFRuleMessage', 'WAFAction', 'QueryType', 'RayID', 'Email' 필드를 전역 수준에서 선언했습니다.
'QueryName' 및 'QueryNameReversed' 필드가 null인 경우 'metadata.event_type'이 'NETWORK_UNCATEGORIZED'로 매핑되었습니다.
RData[n].type, RData[n].data, EdgeResponseBytes, ClientRequestBytes, EdgeResponseStatus 필드에 오류 검사를 추가했습니다.
'SourcePort' 및 'DestinationPort' 필드에 문자열 변환을 추가했습니다.

2022-10-10

개선
'metadata.product_name'이 'Web Application Firewall'에 매핑되었습니다.
'metadata.vendor_name'이 'Cloudflare'에 매핑되었습니다.

2022-05-23

다음 원시 로그 요소를 UDM 요소에 매핑하는 기능이 개선되었습니다.
'ClientASN'이 'network.asn'에 매핑되었습니다.
'ClientSSLCipher'가 'network.tls.cipher'에 매핑되었습니다.
'ClientSSLProtocol'을 'network.tls.version'에 매핑했습니다.
'EdgeResponseContentType'이 'target.file.mime_type'에 매핑되었습니다.
'OriginIP'가 'intermediary.ip'에 매핑되었습니다.
'FirewallMatchesActions'가 'security_result.action'에 매핑되었습니다.
'FirewallMatchesRuleIDs'가 'security_result.rule_id'에 매핑되었습니다.
'FirewallMatchesSources'가 'security_result.rule_name'에 매핑되었습니다.
'WAFRuleID', 'WAFProfile'이 'security_result.about.labels'에 매핑되었습니다.
'CacheCacheStatus', 'CacheResponseBytes', 'CacheResponseStatus', 'ClientDeviceType', 'EdgeColoCode', 'EdgeColoID', 'OriginResponseBytes', 'OriginResponseStatus', 'OriginResponseTime', 'ZoneID'가 'additional.fields'에 매핑되었습니다.