osquery 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 osquery 및 Google Security Operations 전달자를 구성하여 osquery 로그를 수집하는 방법을 설명합니다. 이 문서에는 지원되는 로그 유형과 지원되는 osquery 버전도 나와 있습니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

개요

다음 배포 아키텍처 다이어그램에서는 로그가 Google Security Operations에 전송되도록 osquery 에이전트와 Fleet 서버를 구성하는 방법을 보여줍니다. 각 고객 배포는 이 표현과 다를 수 있고 더 복잡할 수 있습니다.

배포 아키텍처

이 아키텍처 다이어그램은 다음 구성요소를 보여줍니다.

Linux 시스템: osquery 에이전트가 설치된 모니터링할 Linux 시스템입니다.
Microsoft Windows 시스템: osquery 에이전트가 설치된 모니터링할 Microsoft Windows 시스템입니다.
Mac 시스템: osquery 에이전트가 설치된 모니터링할 Mac 시스템입니다.
osquery 에이전트: Microsoft Windows, Linux 또는 Mac 시스템에서 정보를 수집하고 Fleet 서버로 전달합니다.
Fleet 서버: osquery 에이전트를 모니터링하여 정보를 수신하고 로그를 분석하고 Google Security Operations 전달자로 전달합니다.
Google Security Operations 전달자: 로그가 Google Security Operations로 전달되도록 고객 네트워크에 배포된 경량형 소프트웨어 구성요소입니다.
Google Security Operations: Fleet 서버의 로그를 보관하고 분석합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 OSQUERY_EDR 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

Fleet 서버를 설치합니다. Fleet 서버를 설치하려면 다음을 수행합니다.
- 호스트를 설정합니다.
- Fleet 서버를 설치합니다.
Google Security Operations 파서에서 지원하는 osquery 버전 5.2.3 및 5.3.0을 사용합니다.
배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.
Fleet의 테이블 이름이 공식 Fleet 문서를 따르는지 확인합니다.

osquery 에이전트, 서버, Google Security Operations 전달자 구성

Fleet 서버 및 Google Security Operations 전달자를 구성하려면 다음을 수행합니다.

Fleet 서버를 구성하려면 다음을 수행합니다.
Fleet 서버에 호스트를 추가하고 osquery 에이전트를 설치합니다. osquery 설치 프로그램을 사용하여 호스트를 Fleet 서버에 추가할 수 있습니다. Fleet 서버는 fleetctl 패키지 명령어를 사용하여 osquery 설치 프로그램을 생성하는 데 도움이 됩니다.
1. fleetctl 명령줄 도구를 설치하여 fleetctl 패키지 명령어를 실행합니다.
2. fleetctl 패키지 명령어를 사용하여 osquery 에이전트를 설치합니다.
생성된 osquery 설치 프로그램을 호스트에 설치하면 호스트가 지정된 Fleet 인스턴스에 자동으로 등록됩니다.
osquery 에이전트에서 로그를 가져옵니다. 로그를 가져오기 위해 Fleet에서 쿼리를 만들려면 쿼리 만들기를 참조하고 쿼리를 예약하려면 쿼리 예약을 참조하세요.
중앙 Linux 기기에서 Google Security Operations 전달자를 구성하여 로그를 Google Security Operations 시스템으로 내보냅니다. 자세한 내용은 Linux에서 전달자 설치 및 구성을 참조하세요. 다음은 Google SecOps 전달자 구성 예시입니다.
```
  - file:
      common:
        enabled: true
        data_type: OSQUERY_EDR
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      skip_seek_to_end: true
      file_path: <log_file_path>
```
참고: 테이블 및 열 별칭은 osquery 파서에서 지원되지 않습니다.

필드 매핑 참조

이 섹션에서는 Google Security Operations 파서가 osquery 로그 필드를 스키마 및 운영체제의 Google Security Operations 통합 데이터 모델(UDM) 필드에 매핑하는 방식을 설명합니다. 자세한 내용은 버전 5.2.3 및 버전 5.3.0용 osquery 스키마를 참조하세요.

account_policy_data

다음 표에는 스키마 account_policy_data 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
uid	principal.user.userid
creation_time	principal.user.attribute.creation_time
failed_login_count	principal.user.attribute.labels.key/value
failed_login_timestamp	principal.user.attribute.labels.key/value
password_last_set_time	principal.user.attribute.labels.key/value

ad_config

다음 표에는 스키마 ad_config 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	about.labels.key/value(지원 중단됨) additional.fields
도메인	target.administrative_domain
option	about.labels.key(지원 중단됨) additional.fields.key
값	about.labels.value(지원 중단됨) additional.fields.value.string_value

alf

다음 표에는 스키마 alf 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
allow_signed_enabled	about.labels.key/value(지원 중단됨) additional.fields
firewall_unload	about.labels.key/value(지원 중단됨) additional.fields
global_state	about.labels.key/value(지원 중단됨) additional.fields
logging_enabled	about.labels.key/value(지원 중단됨) additional.fields
logging_option	about.labels.key/value(지원 중단됨) additional.fields
stealth_enabled	about.labels.key/value(지원 중단됨) additional.fields
version	target.platform_version

alf_exceptions

다음 표에는 스키마 alf_exceptions 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드

UDM 매핑

metadata.event_type이 SETTING_MODIFICATION에 매핑됨

경로

target.file.full_path

주

about.labels.key/value(지원 중단됨)

additional.fields

alf_explicit_auths

다음 표에는 스키마 alf_explicit_auths 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
process	target.process.pid

app_schemes

다음 표에는 스키마 app_schemes 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
scheme	about.labels.key/value(지원 중단됨) additional.fields
handler	about.labels.key/value(지원 중단됨) additional.fields
enabled	about.labels.key/value(지원 중단됨) additional.fields
외부	about.labels.key/value(지원 중단됨) additional.fields
protected	about.labels.key/value(지원 중단됨) additional.fields

apparmor_events

다음 표에는 스키마 apparmor_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
유형	about.labels.key/value(지원 중단됨) additional.fields
메시지	metadata.description
시간	about.labels.key/value(지원 중단됨) additional.fields
uptime	about.labels.key/value(지원 중단됨) additional.fields
eid	security_result.rule_id
apparmor	security_result.action
작업	about.labels.key/value(지원 중단됨) additional.fields
parent	target.process.parent_process.pid
프로필	about.labels.key/value(지원 중단됨) additional.fields
name	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
comm	target.process.command_line
denied_mask	about.labels.key/value(지원 중단됨) additional.fields
capname	about.labels.key/value(지원 중단됨) additional.fields
fsuid	target.user.attribute.labels.key/value
ouid	target.user.attribute.labels.key/value
capability	about.labels.key/value(지원 중단됨) additional.fields
requested_mask	target.process.access_mask
정보	about.labels.key/value(지원 중단됨) additional.fields
오류	security_result.summary
네임스페이스	about.labels.key/value(지원 중단됨) additional.fields
라벨	about.labels.key/value(지원 중단됨) additional.fields

apparmor_profiles

다음 표에는 스키마 apparmor_profiles 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
name	target.resource.name
attach	about.labels.key/value(지원 중단됨) additional.fields
모드	about.labels.key/value(지원 중단됨) additional.fields
sha1	target.file.sha1

앱

다음 표에는 스키마 apps 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	target.application
경로	target.file.full_path
bundle_executable	about.labels.key/value(지원 중단됨) additional.fields
bundle_identifier	target.resource.product_object_id
bundle_name	target.resource.name
bundle_short_version	target.resource.attribute.labels.key/value
bundle_version	target.resource.attribute.labels.key/value
bundle_package_type	about.labels.key/value(지원 중단됨) additional.fields
환경	about.labels.key/value(지원 중단됨) additional.fields
element	about.labels.key/value(지원 중단됨) additional.fields
compiler	about.labels.key/value(지원 중단됨) additional.fields
development_region	about.location.country_or_region
display_name	about.labels.key/value(지원 중단됨) additional.fields
info_string	about.labels.key/value(지원 중단됨) additional.fields
minimum_system_version	about.labels.key/value(지원 중단됨) additional.fields
카테고리	about.labels.key/value(지원 중단됨) additional.fields
applescript_enabled	about.labels.key/value(지원 중단됨) additional.fields
저작권	about.labels.key/value(지원 중단됨) additional.fields
last_opened_time	target.file.last_seen_time

asl

다음 표에는 스키마 asl 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
시간	about.labels.key/value(지원 중단됨) additional.fields
time_nano_sec	about.labels.key/value(지원 중단됨) additional.fields
host	target.hostname
sender	about.labels.key/value(지원 중단됨) additional.fields
facility	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
gid	target.user.group_identifiers
uid	target.user.userid
레벨	about.labels.key/value(지원 중단됨) additional.fields
메시지	metadata.description
ref_pid	about.labels.key/value(지원 중단됨) additional.fields
ref_proc	about.labels.key/value(지원 중단됨) additional.fields
extra	about.labels.key/value(지원 중단됨) additional.fields

authenticode

다음 표에는 스키마 authenticode 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
original_program_name	about.labels.key/value(지원 중단됨) additional.fields
serial_number	network.tls.client.certificate.serial
issuer_name	network.tls.client.certificate.issuer
subject_name	network.tls.client.certificate.subject
결과	security_result.summary

authorization_mechanisms

다음 표에는 스키마 authorization_mechanisms 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
라벨	about.labels.key/value(지원 중단됨) additional.fields
plugin	about.labels.key/value(지원 중단됨) additional.fields
mechanism	about.labels.key/value(지원 중단됨) additional.fields
privileged	about.labels.key/value(지원 중단됨) additional.fields
entry	about.labels.key/value(지원 중단됨) additional.fields

authorizations

다음 표에는 스키마 authorizations 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
라벨	about.labels.key/value(지원 중단됨) additional.fields
수정됨	about.labels.key/value(지원 중단됨) additional.fields
allow_root	about.labels.key/value(지원 중단됨) additional.fields
timeout	about.labels.key/value(지원 중단됨) additional.fields
version	about.labels.key/value(지원 중단됨) additional.fields
tries	about.labels.key/value(지원 중단됨) additional.fields
authenticate_user	about.labels.key/value(지원 중단됨) additional.fields
shared	about.labels.key/value(지원 중단됨) additional.fields
댓글	about.labels.key/value(지원 중단됨) additional.fields
created	about.labels.key/value(지원 중단됨) additional.fields
class	about.labels.key/value(지원 중단됨) additional.fields
session_owner	about.labels.key/value(지원 중단됨) additional.fields

autoexec

다음 표에는 스키마 autoexec 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
name	target.application
source	target.resource.name

bitlocker_info

다음 표에는 스키마 bitlocker_info 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
device_id	target.resource.product_object_id
drive_letter	target.resource.name
persistent_volume_id	about.labels.key/value(지원 중단됨) additional.fields
conversion_status	target.resource.attirbute.labels.key/value
protection_status	target.resource.attirbute.labels.key/value
encryption_method	target.resource.attirbute.labels.key/value
version	metadata.product_version
percentage_encrypted	target.resource.attirbute.labels.key/value
lock_status	target.resource.attirbute.labels.key/value

bpf_process_events

다음 표에는 스키마 bpf_process_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
tid	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
parent	target.process.parent_process.pid
uid	principal.user.userid
gid	principal.group.product_object_id
cid	about.labels.key/value(지원 중단됨) additional.fields
exit_code	about.labels.key/value(지원 중단됨) additional.fields
probe_error	about.labels.key/value(지원 중단됨) additional.fields
syscall	about.labels.key/value(지원 중단됨) additional.fields
경로	target.process.file.full_path
cwd	about.labels.key/value(지원 중단됨) additional.fields
cmdline	target.process.command_line
기간	about.labels.key/value(지원 중단됨) additional.fields
json_cmdline	about.labels.key/value(지원 중단됨) additional.fields
ntime	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

bpf_socket_events

다음 표에는 스키마 bpf_socket_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
tid	about.labels.key/value(지원 중단됨) additional.fields
pid	principal.process.pid
parent	principal.process.parent_process.pid
uid	principal.user.userid
gid	principal.group.product_object_id
cid	about.labels.key/value(지원 중단됨) additional.fields
exit_code	about.labels.key/value(지원 중단됨) additional.fields
probe_error	about.labels.key/value(지원 중단됨) additional.fields
syscall	about.labels.key/value(지원 중단됨) additional.fields
경로	target.file.full_path
fd	about.labels.key/value(지원 중단됨) additional.fields
가족	about.labels.key/value(지원 중단됨) additional.fields
유형	about.labels.key/value(지원 중단됨) additional.fields
프로토콜	about.labels.key/value(지원 중단됨) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
기간	about.labels.key/value(지원 중단됨) additional.fields
ntime	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

certificates

다음 표에는 스키마 certificates 및 OS macOS, Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
common_name	about.labels.key/value(지원 중단됨) additional.fields
제목	network.tls.client.certificate.subject
issuer	network.tls.client.certificate.issuer
ca	about.labels.key/value(지원 중단됨) additional.fields
self_signed	about.labels.key/value(지원 중단됨) additional.fields
not_valid_before	network.tls.client.certificate.not_before
not_valid_after	network.tls.client.certificate.not_after
signing_algorithm	about.labels.key/value(지원 중단됨) additional.fields
key_algorithm	about.labels.key/value(지원 중단됨) additional.fields
key_strength	about.labels.key/value(지원 중단됨) additional.fields
key_usage	about.labels.key/value(지원 중단됨) additional.fields
subject_key_id	about.labels.key/value(지원 중단됨) additional.fields
authority_key_id	about.labels.key/value(지원 중단됨) additional.fields
sha1	network.tls.client.certificate.sha1
경로	about.labels.key/value(지원 중단됨) additional.fields
serial	network.tls.client.certificate.serial
sid	about.labels.key/value(지원 중단됨) additional.fields
store_location	about.labels.key/value(지원 중단됨) additional.fields
store	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	principal.user.user_display_name
store_id	about.labels.key/value(지원 중단됨) additional.fields

chassis_info

다음 표에는 스키마 chassis_info 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
audible_alarm	about.labels.key/value(지원 중단됨) additional.fields
breach_description	security_result.description
chassis_types	about.labels.key/value(지원 중단됨) additional.fields
설명	metadata.description
lock	about.labels.key/value(지원 중단됨) additional.fields
manufacturer	principal.asset.hardware.manufacturer
model	principal.asset.hardware.model
security_breach	security_result.detection_fields.key/value
serial	principal.asset.hardware.serial_number
smbios_tag	about.labels.key/value(지원 중단됨) additional.fields
SKU	about.labels.key/value(지원 중단됨) additional.fields
상태	about.labels.key/value(지원 중단됨) additional.fields
visible_alarm	about.labels.key/value(지원 중단됨) additional.fields

chrome_extensions

다음 표에는 스키마 chrome_extensions 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
browser_type	target.resource.attribute.labels.key/value
uid	principal.user.userid
name	target.resource.name
프로필	target.resource.attribute.labels.key/value
profile_path	target.resource.attribute.labels.key/value
referenced_identifier	target.resource.attribute.labels.key/value
identifier	target.resource.attribute.labels.key/value
version	target.resource.attribute.labels.key/value
설명	target.resource.attribute.labels.key/value
default_locale	target.resource.attribute.labels.key/value
current_locale	target.resource.attribute.labels.key/value
update_url	network.http.referral_url
작성자	target.resource.attribute.labels.key/value
영구	target.resource.attribute.labels.key/value
경로	target.file.full_path
permissions	target.resource.attribute.labels.key/value
permissions_json	target.resource.attribute.labels.key/value
optional_permissions	target.resource.attribute.labels.key/value
optional_permissions_json	target.resource.attribute.labels.key/value
manifest_hash	target.resource.attribute.labels.key/value
referenced	target.resource.attribute.labels.key/value
from_webstore	target.resource.attribute.labels.key/value
주	target.resource.attribute.labels.key/value
install_time	target.resource.attribute.labels.key/value
install_timestamp	target.resource.attribute.labels.key/value
manifest_json	target.resource.attribute.labels.key/value
키	target.resource.attribute.labels.key/value

connectivity

다음 표에는 스키마 connectivity 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
연결 끊김	about.labels.key/value(지원 중단됨) additional.fields
ipv4_no_traffic	about.labels.key/value(지원 중단됨) additional.fields
ipv6_no_traffic	about.labels.key/value(지원 중단됨) additional.fields
ipv4_subnet	about.labels.key/value(지원 중단됨) additional.fields
ipv4_local_network	about.labels.key/value(지원 중단됨) additional.fields
ipv4_internet	about.labels.key/value(지원 중단됨) additional.fields
ipv6_subnet	about.labels.key/value(지원 중단됨) additional.fields
ipv6_local_network	about.labels.key/value(지원 중단됨) additional.fields
ipv6_internet	about.labels.key/value(지원 중단됨) additional.fields

cpu_info

다음 표에는 스키마 cpu_info 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
device_id	principal.asset.product_object_id
model	principal.asset.hardware.model
manufacturer	principal.asset.hardware.manufacturer
processor_type	about.labels.key/value(지원 중단됨) additional.fields
availability	about.labels.key/value(지원 중단됨) additional.fields
cpu_status	about.labels.key/value(지원 중단됨) additional.fields
number_of_cores	principal.asset.hardware.cpu_number_cores
logical_processors	about.labels.key/value(지원 중단됨) additional.fields
address_width	about.labels.key/value(지원 중단됨) additional.fields
current_clock_speed	principal.asset.hardware.cpu_clock_speed
max_clock_speed	principal.asset.hardware.cpu_max_clock_speed
socket_designation	about.labels.key/value(지원 중단됨) additional.fields

비정상 종료

다음 표에는 스키마 crashes 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
유형	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
경로	target.process.file.full_path
crash_path	target.file.full_path
identifier	about.labels.key/value(지원 중단됨) additional.fields
version	about.labels.key/value(지원 중단됨) additional.fields
parent	target.process.parent_process.pid
responsible	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
datetime	metadata.event_timestamp
crashed_thread	about.labels.key/value(지원 중단됨) additional.fields
stack_trace	about.labels.key/value(지원 중단됨) additional.fields
exception_type	about.labels.key/value(지원 중단됨) additional.fields
exception_codes	about.labels.key/value(지원 중단됨) additional.fields
exception_notes	about.labels.key/value(지원 중단됨) additional.fields
registers	about.labels.key/value(지원 중단됨) additional.fields

crontab

다음 표에는 스키마 crontab 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
이벤트	about.labels.key/value(지원 중단됨) additional.fields
분	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
day_of_month	about.labels.key/value(지원 중단됨) additional.fields
월	about.labels.key/value(지원 중단됨) additional.fields
day_of_week	about.labels.key/value(지원 중단됨) additional.fields
command	principal.process.command_line
경로	principal.process.file.full_path
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields

curl

다음 표에는 스키마 curl 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
url	network.http.referral_url
method	network.http.method
user_agent	network.http.user_agent
response_code	network.http.response_code
round_trip_time	network.session_duration
바이트	network.received_bytes
결과	about.labels.key/value(지원 중단됨) additional.fields

curl_certificate

다음 표에는 스키마 curl_certificate 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
hostname	principal.hostname
common_name	about.labels.key/value(지원 중단됨) additional.fields
조직	network.organization_name
organization_unit	about.labels.key/value(지원 중단됨) additional.fields
serial_number	network.tls.server.certificate.serial
issuer_common_name	about.labels.key/value(지원 중단됨) additional.fields
issuer_organization	network.tls.server.certificate.issuer
issuer_organization_unit	about.labels.key/value(지원 중단됨) additional.fields
valid_from	network.tls.server.certificate.not_before
valid_to	network.tls.server.certificate.not_after
sha256_fingerprint	network.tls.server.certificate.sha256
sha1_fingerprint	network.tls.server.certificate.sha1
version	network.tls.server.certificate.version
signature_algorithm	about.labels.key/value(지원 중단됨) additional.fields
signature	about.labels.key/value(지원 중단됨) additional.fields
subject_key_identifier	about.labels.key/value(지원 중단됨) additional.fields
authority_key_identifier	about.labels.key/value(지원 중단됨) additional.fields
key_usage	about.labels.key/value(지원 중단됨) additional.fields
extended_key_usage	about.labels.key/value(지원 중단됨) additional.fields
policies	about.labels.key/value(지원 중단됨) additional.fields
subject_alternative_names	about.labels.key/value(지원 중단됨) additional.fields
issuer_alternative_names	about.labels.key/value(지원 중단됨) additional.fields
info_access	about.labels.key/value(지원 중단됨) additional.fields
subject_info_access	about.labels.key/value(지원 중단됨) additional.fields
policy_mappings	about.labels.key/value(지원 중단됨) additional.fields
has_expired	about.labels.key/value(지원 중단됨) additional.fields
basic_constraint	about.labels.key/value(지원 중단됨) additional.fields
name_constraints	about.labels.key/value(지원 중단됨) additional.fields
policy_constraints	about.labels.key/value(지원 중단됨) additional.fields
dump_certificate	about.labels.key/value(지원 중단됨) additional.fields
timeout	about.labels.key/value(지원 중단됨) additional.fields
pem	about.labels.key/value(지원 중단됨) additional.fields

device_file

다음 표에는 스키마 device_file 및 OS Linux, macOS, FreeBSD, Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
기기	about.labels.key/value(지원 중단됨) additional.fields
partition	about.labels.key/value(지원 중단됨) additional.fields
경로	target.file.full_path
filename	target.file.names
inode	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
모드	about.labels.key/value(지원 중단됨) additional.fields
크기	target.file.size
block_size	about.labels.key/value(지원 중단됨) additional.fields
atime	about.labels.key/value(지원 중단됨) additional.fields
mtime	target.file.last_modification_time
ctime	about.labels.key/value(지원 중단됨) additional.fields
hard_links	about.labels.key/value(지원 중단됨) additional.fields
유형	about.labels.key/value(지원 중단됨) additional.fields

device_hash

다음 표에는 스키마 device_hash 및 OS Linux, macOS, FreeBSD, Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
기기	target.file.full_path
partition	about.labels.key/value(지원 중단됨) additional.fields
inode	about.labels.key/value(지원 중단됨) additional.fields
md5	target.file.md5
sha1	target.file.sha1
sha256	target.file.sha56

disk_info

다음 표에는 스키마 disk_info 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
partitions	principal.asset.attribute.labels.key/value
disk_index	principal.asset.attribute.labels.key/value
유형	principal.asset.attribute.labels.key/value
id	principal.asset.product_object_id
pnp_device_id	about.labels.key/value(지원 중단됨) additional.fields
disk_size	principal.asset.attribute.labels.key/value
manufacturer	principal.asset.hardware.manufacturer
hardware_model	principal.asset.hardware.model
name	principal.asset.attribute.labels.key/value
serial	principal.asset.hardware.serial_number
설명	principal.asset.attribute.labels.key/value

dns_cache

다음 표에는 스키마 dns_cache 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	network.dns.additional.name
유형	about.labels.key/value(지원 중단됨) additional.fields
flags	about.labels.key/value(지원 중단됨) additional.fields

dns_resolvers

다음 표에는 스키마 dns_resolvers 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	about.labels.key/value(지원 중단됨) additional.fields
유형	about.labels.key/value(지원 중단됨) additional.fields
주소	principal.ip
netmask	about.labels.key/value(지원 중단됨) additional.fields
옵션	about.labels.key/value(지원 중단됨) additional.fields
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields

docker_container_networks

다음 표에는 스키마 docker_container_networks 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.asset.product_object_id
name	network.carrier_name
network_id	about.labels.key/value(지원 중단됨) additional.fields
endpoint_id	about.labels.key/value(지원 중단됨) additional.fields
게이트웨이	about.labels.key/value(지원 중단됨) additional.fields
ip_address	target.ip
ip_prefix_len	about.labels.key/value(지원 중단됨) additional.fields
ipv6_gateway	about.labels.key/value(지원 중단됨) additional.fields
ipv6_address	target.ip
ipv6_prefix_len	about.labels.key/value(지원 중단됨) additional.fields
mac_address	target.mac

docker_container_ports

다음 표에는 스키마 docker_container_ports 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.asset.product_object_id
유형	network.ip_protocol
포트	target.port
host_ip	principal.ip
host_port	principal.port

docker_container_processes

다음 표에는 스키마 docker_container_processes와 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.asset.product_object_id
pid	target.process.pid
name	target.process.file.full_path
cmdline	target.process.command_line
주	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
euid	target.user.attribute.labels.key/value
egid	target.group.attribute.labels.key/value
suid	target.user.attribute.labels.key/value
sgid	target.group.attribute.labels.key/value
wired_size	about.labels.key/value(지원 중단됨) additional.fields
resident_size	about.labels.key/value(지원 중단됨) additional.fields
total_size	about.labels.key/value(지원 중단됨) additional.fields
start_time	about.labels.key/value(지원 중단됨) additional.fields
parent	target.process.parent_process.pid
pgroup	about.labels.key/value(지원 중단됨) additional.fields
threads	about.labels.key/value(지원 중단됨) additional.fields
좋아요	about.labels.key/value(지원 중단됨) additional.fields
사용자	target.user.user_display_name
시간	about.labels.key/value(지원 중단됨) additional.fields
CPU	about.labels.key/value(지원 중단됨) additional.fields
mem	about.labels.key/value(지원 중단됨) additional.fields

docker_container_stats

다음 표에는 스키마 docker_container_stats 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.resource.product_object_id
name	target.resource.name
pids	about.labels.key/value(지원 중단됨) additional.fields
read	about.labels.key/value(지원 중단됨) additional.fields
preread	about.labels.key/value(지원 중단됨) additional.fields
interval	about.labels.key/value(지원 중단됨) additional.fields
disk_read	about.labels.key/value(지원 중단됨) additional.fields
disk_write	about.labels.key/value(지원 중단됨) additional.fields
num_procs	about.labels.key/value(지원 중단됨) additional.fields
cpu_total_usage	about.labels.key/value(지원 중단됨) additional.fields
cpu_kernelmode_usage	about.labels.key/value(지원 중단됨) additional.fields
cpu_usermode_usage	about.labels.key/value(지원 중단됨) additional.fields
system_cpu_usage	about.labels.key/value(지원 중단됨) additional.fields
online_cpus	about.labels.key/value(지원 중단됨) additional.fields
pre_cpu_total_usage	about.labels.key/value(지원 중단됨) additional.fields
pre_cpu_kernelmode_usage	about.labels.key/value(지원 중단됨) additional.fields
pre_cpu_usermode_usage	about.labels.key/value(지원 중단됨) additional.fields
pre_system_cpu_usage	about.labels.key/value(지원 중단됨) additional.fields
pre_online_cpus	about.labels.key/value(지원 중단됨) additional.fields
memory_usage	about.labels.key/value(지원 중단됨) additional.fields
memory_max_usage	about.labels.key/value(지원 중단됨) additional.fields
memory_limit	about.labels.key/value(지원 중단됨) additional.fields
network_rx_bytes	about.labels.key/value(지원 중단됨) additional.fields
network_tx_bytes	about.labels.key/value(지원 중단됨) additional.fields

docker_info

다음 표에는 스키마 docker_info 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.resource.product_object_id
컨테이너	about.labels.key/value(지원 중단됨) additional.fields
containers_running	about.labels.key/value(지원 중단됨) additional.fields
containers_paused	about.labels.key/value(지원 중단됨) additional.fields
containers_stopped	about.labels.key/value(지원 중단됨) additional.fields
이미지	about.labels.key/value(지원 중단됨) additional.fields
storage_driver	about.labels.key/value(지원 중단됨) additional.fields
memory_limit	about.labels.key/value(지원 중단됨) additional.fields
swap_limit	about.labels.key/value(지원 중단됨) additional.fields
kernel_memory	about.labels.key/value(지원 중단됨) additional.fields
cpu_cfs_period	about.labels.key/value(지원 중단됨) additional.fields
cpu_cfs_quota	about.labels.key/value(지원 중단됨) additional.fields
cpu_shares	about.labels.key/value(지원 중단됨) additional.fields
cpu_set	about.labels.key/value(지원 중단됨) additional.fields
ipv4_forwarding	about.labels.key/value(지원 중단됨) additional.fields
bridge_nf_iptables	about.labels.key/value(지원 중단됨) additional.fields
bridge_nf_ip6tables	about.labels.key/value(지원 중단됨) additional.fields
oom_kill_disable	about.labels.key/value(지원 중단됨) additional.fields
logging_driver	about.labels.key/value(지원 중단됨) additional.fields
cgroup_driver	about.labels.key/value(지원 중단됨) additional.fields
kernel_version	about.labels.key/value(지원 중단됨) additional.fields
os	about.labels.key/value(지원 중단됨) additional.fields
os_type	target.platform(enum)
architecture	about.labels.key/value(지원 중단됨) additional.fields
cpus	about.labels.key/value(지원 중단됨) additional.fields
메모리	about.labels.key/value(지원 중단됨) additional.fields
http_proxy	about.labels.key/value(지원 중단됨) additional.fields
https_proxy	about.labels.key/value(지원 중단됨) additional.fields
no_proxy	about.labels.key/value(지원 중단됨) additional.fields
name	target.hostname
server_version	target.platform_version
root_dir	target.file.full_path

docker_network_labels

다음 표에는 스키마 docker_network_labels 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.resource.product_object_id
키	target.resource.attribute.labels.key/value
값	about.labels.key/value(지원 중단됨) additional.fields

docker_networks

다음 표에는 스키마 docker_networks 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
id	target.resource.product_object_id
name	about.labels.key/value(지원 중단됨) additional.fields
driver	about.labels.key/value(지원 중단됨) additional.fields
created	target.resource.attribute.creation_time
enable_ipv6	about.labels.key/value(지원 중단됨) additional.fields
서브넷	about.labels.key/value(지원 중단됨) additional.fields
게이트웨이	about.labels.key/value(지원 중단됨) additional.fields

ec2_instance_metadata

다음 표에는 스키마 ec2_instance_metadata 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
instance_id	target.resource.product_object_id
instance_type	about.labels.key/value(지원 중단됨) additional.fields
architecture	about.labels.key/value(지원 중단됨) additional.fields
지역	target.location.country_or_region
availability_zone	about.labels.key/value(지원 중단됨) additional.fields
local_hostname	target.hostname
local_ipv4	target.ip
mac	target.mac
security_groups	about.labels.key/value(지원 중단됨) additional.fields
iam_arn	about.labels.key/value(지원 중단됨) additional.fields
ami_id	about.labels.key/value(지원 중단됨) additional.fields
reservation_id	about.labels.key/value(지원 중단됨) additional.fields
account_id	target.user.userid
ssh_public_key	about.labels.key/value(지원 중단됨) additional.fields

es_process_events

다음 표에는 스키마 es_process_events 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
version	target.platform_version
seq_num	about.labels.key/value(지원 중단됨) additional.fields
global_seq_num	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
경로	target.process.file.full_path
parent	target.process.parent_process.pid
original_parent	about.labels.key/value(지원 중단됨) additional.fields
cmdline	target.process.command_line
cmdline_count	about.labels.key/value(지원 중단됨) additional.fields
env	about.labels.key/value(지원 중단됨) additional.fields
env_count	about.labels.key/value(지원 중단됨) additional.fields
cwd	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
euid	about.labels.key/value(지원 중단됨) additional.fields
gid	target.group.product_object_id
egid	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	target.user.user_display_name
signing_id	about.labels.key/value(지원 중단됨) additional.fields
team_id	about.labels.key/value(지원 중단됨) additional.fields
cdhash	about.labels.key/value(지원 중단됨) additional.fields
platform_binary	about.labels.key/value(지원 중단됨) additional.fields
exit_code	about.labels.key/value(지원 중단됨) additional.fields
child_pid	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
event_type	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

etc_hosts

다음 표에는 스키마 etc_hosts 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
주소	target.ip
hostnames	about.hostname
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields

etc_protocols

다음 표에는 스키마 etc_protocols 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	network.ip_protocol
숫자	about.labels.key/value(지원 중단됨) additional.fields
alias	about.labels.key/value(지원 중단됨) additional.fields
댓글	about.labels.key/value(지원 중단됨) additional.fields

etc_services

다음 표에는 스키마 etc_services 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	target.resource.name
포트	target.port
프로토콜	network.ip_protocol
aliases	about.labels.key/value(지원 중단됨) additional.fields
댓글	about.labels.key/value(지원 중단됨) additional.fields

파일

다음 표에는 스키마 file 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
directory	about.labels.key/value(지원 중단됨) additional.fields
filename	target.file.names
inode	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
모드	about.labels.key/value(지원 중단됨) additional.fields
기기	target.asset.asset_id
크기	target.file.size
block_size	about.labels.key/value(지원 중단됨) additional.fields
atime	target.file.last_seen_time
mtime	target.file.last_modification_time
ctime	about.labels.key/value(지원 중단됨) additional.fields
btime	about.labels.key/value(지원 중단됨) additional.fields
hard_links	about.labels.key/value(지원 중단됨) additional.fields
symlink	about.labels.key/value(지원 중단됨) additional.fields
유형	about.labels.key/value(지원 중단됨) additional.fields
속성	about.labels.key/value(지원 중단됨) additional.fields
volume_serial	about.labels.key/value(지원 중단됨) additional.fields
file_id	about.labels.key/value(지원 중단됨) additional.fields
file_version	about.labels.key/value(지원 중단됨) additional.fields
product_version	about.labels.key/value(지원 중단됨) additional.fields
bsd_flags	about.labels.key/value(지원 중단됨) additional.fields
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields
mount_namespace_id	about.labels.key/value(지원 중단됨) additional.fields

file_events

다음 표에는 스키마 file_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
작업	about.labels.key/value(지원 중단됨) additional.fields
pid	principal.process.pid
ppid	principal.process.parent_process.pid
시간	about.labels.key/value(지원 중단됨) additional.fields
실행 가능	about.labels.key/value(지원 중단됨) additional.fields
partial	about.labels.key/value(지원 중단됨) additional.fields
cwd	about.labels.key/value(지원 중단됨) additional.fields
경로	src.file.full_path
dest_path	target.file.full_path
uid	principal.user.userid
gid	principal.group.product_object_id
auid	about.labels.key/value(지원 중단됨) additional.fields
euid	about.labels.key/value(지원 중단됨) additional.fields
egid	about.labels.key/value(지원 중단됨) additional.fields
fsuid	about.labels.key/value(지원 중단됨) additional.fields
fsgid	about.labels.key/value(지원 중단됨) additional.fields
suid	about.labels.key/value(지원 중단됨) additional.fields
sgid	about.labels.key/value(지원 중단됨) additional.fields
uptime	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

gatekeeper

다음 표에는 스키마 gatekeeper 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
assessments_enabled	about.labels.key/value(지원 중단됨) additional.fields
dev_id_enabled	about.labels.key/value(지원 중단됨) additional.fields
version	target.asset.software.version
opaque_version	about.labels.key/value(지원 중단됨) additional.fields

gatekeeper_approved_apps

다음 표에는 스키마 gatekeeper_approved_apps 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
requirement	about.labels.key/value(지원 중단됨) additional.fields
ctime	about.labels.key/value(지원 중단됨) additional.fields
mtime	target.resource.attribute.last_update_time

groups

다음 표에는 스키마 groups 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
gid	target.group.attribute.labels.key/value
gid_signed	target.group.attribute.labels.key/value
groupname	target.group.group_display_name
group_sid	target.group.product_object_id
댓글	target.group.attribute.labels.key/value
is_hidden	target.group.attribute.labels.key/value
pid_with_namespace	target.group.attribute.labels.key/value

hardware_events

다음 표에는 스키마 hardware_events 및 OS Linux, macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
action	security_result.action_details
경로	target.asset.attribute.labels.key/value
유형	target.asset.attribute.labels.key/value
driver	target.asset.attribute.labels.key/value
vendor	target.asset.attribute.labels.key/value
vendor_id	target.asset.attribute.labels.key/value
model	target.asset.hardware.model
model_id	target.asset.attribute.labels.key/value
serial	target.asset.attribute.labels.key/value
수정 버전	target.asset.attribute.labels.key/value
시간	metadata.event_timestamp
eid	metadata.product_log_id

해시

다음 표에는 스키마 hash 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
directory	about.labels.key/value(지원 중단됨) additional.fields
md5	target.file.md5
sha1	target.file.sha1
sha256	target.file.sha256
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields
mount_namespace_id	about.labels.key/value(지원 중단됨) additional.fields

interface_addresses

다음 표에는 스키마 interface_addresses 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
인터페이스	about.labels.key/value(지원 중단됨) additional.fields
주소	target.ip
마스크	about.labels.key/value(지원 중단됨) additional.fields
브로드캐스트	about.labels.key/value(지원 중단됨) additional.fields
point_to_point	about.labels.key/value(지원 중단됨) additional.fields
유형	about.labels.key/value(지원 중단됨) additional.fields
friendly_name	about.labels.key/value(지원 중단됨) additional.fields

interface_details

다음 표에는 스키마 interface_details 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
인터페이스	about.labels.key/value(지원 중단됨) additional.fields
mac	target.mac
유형	about.labels.key/value(지원 중단됨) additional.fields
mtu	about.labels.key/value(지원 중단됨) additional.fields
측정항목	about.labels.key/value(지원 중단됨) additional.fields
flags	about.labels.key/value(지원 중단됨) additional.fields
ipackets	about.labels.key/value(지원 중단됨) additional.fields
opackets	about.labels.key/value(지원 중단됨) additional.fields
ibytes	network.sent_bytes
obytes	network.received_bytes
ierrors	about.labels.key/value(지원 중단됨) additional.fields
oerrors	about.labels.key/value(지원 중단됨) additional.fields
idrops	about.labels.key/value(지원 중단됨) additional.fields
odrops	about.labels.key/value(지원 중단됨) additional.fields
collisions	about.labels.key/value(지원 중단됨) additional.fields
last_change	about.labels.key/value(지원 중단됨) additional.fields
link_speed	about.labels.key/value(지원 중단됨) additional.fields
pci_slot	about.labels.key/value(지원 중단됨) additional.fields
friendly_name	about.labels.key/value(지원 중단됨) additional.fields
설명	about.labels.key/value(지원 중단됨) additional.fields
manufacturer	target.asset.hardware.manufacturer
connection_id	about.labels.key/value(지원 중단됨) additional.fields
connection_status	about.labels.key/value(지원 중단됨) additional.fields
enabled	about.labels.key/value(지원 중단됨) additional.fields
physical_adapter	about.labels.key/value(지원 중단됨) additional.fields
speed	about.labels.key/value(지원 중단됨) additional.fields
서비스	target.application
dhcp_enabled	about.labels.key/value(지원 중단됨) additional.fields
dhcp_lease_expires	network.dhcp.lease_time_seconds
dhcp_lease_obtained	about.labels.key/value(지원 중단됨) additional.fields
dhcp_server	network.dhcp.yiaddr
dns_domain	network.dns.questions.name
dns_domain_suffix_search_order	about.labels.key/value(지원 중단됨) additional.fields
dns_host_name	about.labels.key/value(지원 중단됨) additional.fields
dns_server_search_order	about.labels.key/value(지원 중단됨) additional.fields

interface_ipv6

다음 표에는 스키마 interface_ipv6 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
인터페이스	about.labels.key/value(지원 중단됨) additional.fields
hop_limit	about.labels.key/value(지원 중단됨) additional.fields
forwarding_enabled	about.labels.key/value(지원 중단됨) additional.fields
redirect_accept	about.labels.key/value(지원 중단됨) additional.fields
rtadv_accept	about.labels.key/value(지원 중단됨) additional.fields

iptables

다음 표에는 스키마 iptables 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
filter_name	about.labels.key/value(지원 중단됨) additional.fields
체인	about.labels.key/value(지원 중단됨) additional.fields
정책	about.labels.key/value(지원 중단됨) additional.fields
target	about.labels.key/value(지원 중단됨) additional.fields
프로토콜	about.labels.key/value(지원 중단됨) additional.fields
src_port	src.port
dst_port	target.port
src_ip	src.ip
src_mask	about.labels.key/value(지원 중단됨) additional.fields
iniface	about.labels.key/value(지원 중단됨) additional.fields
iniface_mask	about.labels.key/value(지원 중단됨) additional.fields
dst_ip	target.ip
dst_mask	about.labels.key/value(지원 중단됨) additional.fields
outiface	about.labels.key/value(지원 중단됨) additional.fields
outiface_mask	about.labels.key/value(지원 중단됨) additional.fields
match	about.labels.key/value(지원 중단됨) additional.fields
packets	about.labels.key/value(지원 중단됨) additional.fields
바이트	network.received_bytes

kernel_panics

다음 표에는 스키마 kernel_panics 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
시간	about.labels.key/value(지원 중단됨) additional.fields
registers	about.labels.key/value(지원 중단됨) additional.fields
frame_backtrace	about.labels.key/value(지원 중단됨) additional.fields
module_backtrace	about.labels.key/value(지원 중단됨) additional.fields
dependencies	about.labels.key/value(지원 중단됨) additional.fields
name	target.process.command_line
os_version	target.platform_version
kernel_version	about.labels.key/value(지원 중단됨) additional.fields
system_model	target.asset.hardware.model
uptime	about.labels.key/value(지원 중단됨) additional.fields
last_loaded	about.labels.key/value(지원 중단됨) additional.fields
last_unloaded	about.labels.key/value(지원 중단됨) additional.fields

keychain_acls

다음 표에는 스키마 keychain_acls 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
keychain_path	about.labels.key/value(지원 중단됨) additional.fields
authorizations	about.labels.key/value(지원 중단됨) additional.fields
경로	target.file.full_path
설명	metadata.description
라벨	about.labels.key/value(지원 중단됨) additional.fields

known_hosts

다음 표에는 스키마 known_hosts 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
uid	target.user.userid
키	about.labels.key/value(지원 중단됨) additional.fields
key_file	target.file.full_path

마지막

다음 표에는 스키마 last 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
사용자 이름	target.user.user_display_name
tty	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
유형	about.labels.key/value(지원 중단됨) additional.fields
type_name	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
host	target.hostname

listening_ports

다음 표에는 스키마 listening_ports 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
pid	target.process.pid
포트	target.port
프로토콜	network.ip_protocol
가족	about.labels.key/value(지원 중단됨) additional.fields
주소	target.ip
fd	about.labels.key/value(지원 중단됨) additional.fields
소켓	about.labels.key/value(지원 중단됨) additional.fields
경로	target.process.file.full_path
net_namespace	about.labels.key/value(지원 중단됨) additional.fields

logged_in_users

다음 표에는 스키마 logging_in_users 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
유형	about.labels.key/value(지원 중단됨) additional.fields
사용자	target.user.userid
tty	about.labels.key/value(지원 중단됨) additional.fields
host	target.hostname
시간	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
sid	about.labels.key/value(지원 중단됨) additional.fields
registry_hive	about.labels.key/value(지원 중단됨) additional.fields

logon_sessions

다음 표에는 스키마 logon_sessions 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
logon_id	about.labels.key/value(지원 중단됨) additional.fields
사용자	target.user.user_display_name
logon_domain	about.labels.key/value(지원 중단됨) additional.fields
authentication_package	about.labels.key/value(지원 중단됨) additional.fields
logon_type	about.labels.key/value(지원 중단됨) additional.fields
session_id	network.session_id
logon_sid	about.labels.key/value(지원 중단됨) additional.fields
logon_time	about.labels.key/value(지원 중단됨) additional.fields
logon_server	about.labels.key/value(지원 중단됨) additional.fields
dns_domain_name	network.dns_domain
upn	about.labels.key/value(지원 중단됨) additional.fields
logon_script	about.labels.key/value(지원 중단됨) additional.fields
profile_path	target.file.full_path
home_directory	about.labels.key/value(지원 중단됨) additional.fields
home_directory_drive	about.labels.key/value(지원 중단됨) additional.fields

lxd_certificates

다음 표에는 스키마 lxd_certificates 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	security_result.detection_fields.key/value
유형	security_result.detection_fields.key/value
fingerprint	security_result.detection_fields.key/value
인증서	security_result.detection_fields.key/value

lxd_networks

다음 표에는 스키마 lxd_networks 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	about.labels.key/value(지원 중단됨) additional.fields
유형	about.labels.key/value(지원 중단됨) additional.fields
managed	about.labels.key/value(지원 중단됨) additional.fields
ipv4_address	about.labels.key/value(지원 중단됨) additional.fields
ipv6_address	about.labels.key/value(지원 중단됨) additional.fields
used_by	about.labels.key/value(지원 중단됨) additional.fields
bytes_received	network.received_bytes
bytes_sent	network.sent_bytes
packets_received	about.labels.key/value(지원 중단됨) additional.fields
packets_sent	about.labels.key/value(지원 중단됨) additional.fields
hwaddr	about.labels.key/value(지원 중단됨) additional.fields
주	about.labels.key/value(지원 중단됨) additional.fields
mtu	about.labels.key/value(지원 중단됨) additional.fields

managed_policies

다음 표에는 스키마 managed_policies 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
도메인	target.administrative_domain
uuid	about.labels.key/value(지원 중단됨) additional.fields
name	about.labels.key/value(지원 중단됨) additional.fields
값	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	target.user.user_display_name
수동	about.labels.key/value(지원 중단됨) additional.fields

memory_devices

다음 표에는 스키마 memory_devices 및 OS Linux, macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
핸들	about.labels.key/value(지원 중단됨) additional.fields
array_handle	about.labels.key/value(지원 중단됨) additional.fields
form_factor	about.labels.key/value(지원 중단됨) additional.fields
total_width	about.labels.key/value(지원 중단됨) additional.fields
data_width	about.labels.key/value(지원 중단됨) additional.fields
크기	about.labels.key/value(지원 중단됨) additional.fields
set	about.labels.key/value(지원 중단됨) additional.fields
device_locator	about.labels.key/value(지원 중단됨) additional.fields
bank_locator	about.labels.key/value(지원 중단됨) additional.fields
memory_type	about.labels.key/value(지원 중단됨) additional.fields
memory_type_details	about.labels.key/value(지원 중단됨) additional.fields
max_speed	about.labels.key/value(지원 중단됨) additional.fields
configured_clock_speed	about.labels.key/value(지원 중단됨) additional.fields
manufacturer	target.asset.hardware.manufacturer
serial_number	target.asset.hardware.serial_number
asset_tag	target.asset.asset_id
part_number	about.labels.key/value(지원 중단됨) additional.fields
min_voltage	about.labels.key/value(지원 중단됨) additional.fields
max_voltage	about.labels.key/value(지원 중단됨) additional.fields
configured_voltage	about.labels.key/value(지원 중단됨) additional.fields

ntdomains

다음 표에는 스키마 ntdomains 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	about.labels.key/value(지원 중단됨) additional.fields
client_site_name	about.labels.key/value(지원 중단됨) additional.fields
dc_site_name	about.labels.key/value(지원 중단됨) additional.fields
dns_forest_name	network.dns.questions.name
domain_controller_address	target.ip
domain_controller_name	about.labels.key/value(지원 중단됨) additional.fields
domain_name	target.administrative_domain
상태	about.labels.key/value(지원 중단됨) additional.fields

ntfs_acl_permissions

다음 표에는 스키마 ntfs_acl_permissions 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
유형	about.labels.key/value(지원 중단됨) additional.fields
principal	about.labels.key/value(지원 중단됨) additional.fields
access	about.labels.key/value(지원 중단됨) additional.fields
inherited_from	about.labels.key/value(지원 중단됨) additional.fields

os_version

다음 표에는 스키마 os_version 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	about.labels.key/value(지원 중단됨) additional.fields
version	principal.platform_version
major	about.labels.key/value(지원 중단됨) additional.fields
minor	about.labels.key/value(지원 중단됨) additional.fields
patch	principal.platform_patch_level
build	about.labels.key/value(지원 중단됨) additional.fields
platform	principal.platform
platform_like	about.labels.key/value(지원 중단됨) additional.fields
codename	about.labels.key/value(지원 중단됨) additional.fields
arch	about.labels.key/value(지원 중단됨) additional.fields
install_date	about.labels.key/value(지원 중단됨) additional.fields
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields
mount_namespace_id	about.labels.key/value(지원 중단됨) additional.fields

osquery_events

다음 표에는 스키마 osquery_events 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	target.resource.name
게시자	about.label.key/value
유형	about.label.key/value
subscriptions	about.label.key/value
이벤트	about.label.key/value
refreshes	about.label.key/value
운영중	about.label.key/value

patches

다음 표에는 스키마 patches 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
csname	target.hostname
hotfix_id	about.labels.key/value(지원 중단됨) additional.fields
caption	about.labels.key/value(지원 중단됨) additional.fields
설명	metadata.description
fix_comments	about.labels.key/value(지원 중단됨) additional.fields
installed_by	about.labels.key/value(지원 중단됨) additional.fields
install_date	about.labels.key/value(지원 중단됨) additional.fields
installed_on	about.labels.key/value(지원 중단됨) additional.fields

pci_devices

다음 표에는 스키마 pci_devices 및 OS Linux, macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
pci_slot	principal.labels.key/value(지원 중단됨) additional.fields
pci_class	principal.labels.key/value(지원 중단됨) additional.fields
driver	principal.labels.key/value(지원 중단됨) additional.fields
vendor	principal.labels.key/value(지원 중단됨) additional.fields
vendor_id	principal.labels.key/value(지원 중단됨) additional.fields
model	principal.asset.hardware.model
model_id	principal.labels.key/value(지원 중단됨) additional.fields
subsystem	principal.labels.key/value(지원 중단됨) additional.fields
express	principal.labels.key/value(지원 중단됨) additional.fields
thunderbolt	principal.labels.key/value(지원 중단됨) additional.fields
removable	principal.labels.key/value(지원 중단됨) additional.fields
pci_class_id	principal.labels.key/value(지원 중단됨) additional.fields
pci_subclass_id	principal.labels.key/value(지원 중단됨) additional.fields
pci_subclass	principal.labels.key/value(지원 중단됨) additional.fields
subsystem_vendor_id	principal.labels.key/value(지원 중단됨) additional.fields
subsystem_vendor	principal.labels.key/value(지원 중단됨) additional.fields
subsystem_model_id	principal.labels.key/value(지원 중단됨) additional.fields
subsystem_model	principal.labels.key/value(지원 중단됨) additional.fields

pipes

다음 표에는 스키마 pipes 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
pid	target.process.pid
name	target.resource.name
instances	about.labels.key/value(지원 중단됨) additional.fields
max_instances	about.labels.key/value(지원 중단됨) additional.fields
flags	about.labels.key/value(지원 중단됨) additional.fields

powershell_events

다음 표에는 스키마 powershell_events 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
시간	metadata.collected_timestamp
datetime	about.labels.key/value(지원 중단됨) additional.fields
script_block_id	about.labels.key/value(지원 중단됨) additional.fields
script_block_count	about.labels.key/value(지원 중단됨) additional.fields
script_text	about.labels.key/value(지원 중단됨) additional.fields
script_name	about.labels.key/value(지원 중단됨) additional.fields
script_path	target.file.full_path
cosine_similarity	about.labels.key/value(지원 중단됨) additional.fields

process_envs

다음 표에는 스키마 process_envs 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
pid	target.process.pid
키	about.labels.key
값	about.labels.value

process_events

다음 표에는 스키마 process_events 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
version	target.platform_version
seq_num	about.labels.key/value(지원 중단됨) additional.fields
global_seq_num	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
경로	target.file.full_path
parent	target.process.parent_process.pid
original_parent	about.labels.key/value(지원 중단됨) additional.fields
cmdline	target.process.command_line
cmdline_count	about.labels.key/value(지원 중단됨) additional.fields
env	about.labels.key/value(지원 중단됨) additional.fields
env_count	about.labels.key/value(지원 중단됨) additional.fields
cwd	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
euid	about.labels.key/value(지원 중단됨) additional.fields
gid	target.group.product_object_id
egid	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	target.user.user_display_name
signing_id	about.labels.key/value(지원 중단됨) additional.fields
team_id	about.labels.key/value(지원 중단됨) additional.fields
cdhash	about.labels.key/value(지원 중단됨) additional.fields
platform_binary	about.labels.key/value(지원 중단됨) additional.fields
exit_code	about.labels.key/value(지원 중단됨) additional.fields
child_pid	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
event_type	about.labels.key/value(지원 중단됨) additional.fields
eid	about.labels.key/value(지원 중단됨) additional.fields

process_file_events

다음 표에는 스키마 process_file_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
작업	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
ppid	target.process.parent_process.pid
시간	about.labels.key/value(지원 중단됨) additional.fields
실행 가능	about.labels.key/value(지원 중단됨) additional.fields
partial	about.labels.key/value(지원 중단됨) additional.fields
cwd	about.labels.key/value(지원 중단됨) additional.fields
경로	target.file.full_path
dest_path	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
auid	about.labels.key/value(지원 중단됨) additional.fields
euid	about.labels.key/value(지원 중단됨) additional.fields
egid	about.labels.key/value(지원 중단됨) additional.fields
fsuid	about.labels.key/value(지원 중단됨) additional.fields
fsgid	about.labels.key/value(지원 중단됨) additional.fields
suid	about.labels.key/value(지원 중단됨) additional.fields
sgid	about.labels.key/value(지원 중단됨) additional.fields
uptime	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

process_open_sockets

다음 표에는 스키마 process_open_sockets 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
pid	principal.process.pid
fd	about.labels.key/value(지원 중단됨) additional.fields
소켓	about.labels.key/value(지원 중단됨) additional.fields
가족	about.labels.key/value(지원 중단됨) additional.fields
프로토콜	about.labels.key/value(지원 중단됨) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
경로	target.file.full_path
주	about.labels.key/value(지원 중단됨) additional.fields
net_namespace	about.labels.key/value(지원 중단됨) additional.fields

processes

다음 표에는 스키마 processes 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
pid	target.process.pid
name	about.labels.key/value(지원 중단됨) additional.fields
경로	target.process.file.full_path
cmdline	target.process.command_line
주	target.process.attribute.labels.key/value
cwd	about.labels.key/value(지원 중단됨) additional.fields
root	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
euid	about.labels.key/value(지원 중단됨) additional.fields
egid	about.labels.key/value(지원 중단됨) additional.fields
suid	about.labels.key/value(지원 중단됨) additional.fields
sgid	about.labels.key/value(지원 중단됨) additional.fields
on_disk	about.labels.key/value(지원 중단됨) additional.fields
wired_size	about.labels.key/value(지원 중단됨) additional.fields
resident_size	about.labels.key/value(지원 중단됨) additional.fields
total_size	about.labels.key/value(지원 중단됨) additional.fields
user_time	about.labels.key/value(지원 중단됨) additional.fields
system_time	about.labels.key/value(지원 중단됨) additional.fields
disk_bytes_read	about.labels.key/value(지원 중단됨) additional.fields
disk_bytes_written	about.labels.key/value(지원 중단됨) additional.fields
start_time	about.labels.key/value(지원 중단됨) additional.fields
parent	target.process.parent_process.pid
pgroup	about.labels.key/value(지원 중단됨) additional.fields
threads	about.labels.key/value(지원 중단됨) additional.fields
좋아요	about.labels.key/value(지원 중단됨) additional.fields
elevated_token	about.labels.key/value(지원 중단됨) additional.fields
secure_process	about.labels.key/value(지원 중단됨) additional.fields
protection_type	about.labels.key/value(지원 중단됨) additional.fields
virtual_process	about.labels.key/value(지원 중단됨) additional.fields
elapsed_time	about.labels.key/value(지원 중단됨) additional.fields
handle_count	about.labels.key/value(지원 중단됨) additional.fields
percent_processor_time	about.labels.key/value(지원 중단됨) additional.fields
upid	about.labels.key/value(지원 중단됨) additional.fields
uppid	about.labels.key/value(지원 중단됨) additional.fields
cpu_type	about.labels.key/value(지원 중단됨) additional.fields
cpu_subtype	about.labels.key/value(지원 중단됨) additional.fields

programs

다음 표에는 스키마 programs 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	target.resource.name
version	target.platform_version
install_location	about.labels.key/value(지원 중단됨) additional.fields
install_source	about.labels.key/value(지원 중단됨) additional.fields
언어	about.labels.key/value(지원 중단됨) additional.fields
게시자	about.labels.key/value(지원 중단됨) additional.fields
uninstall_string	target.file.full_path
install_date	about.labels.key/value(지원 중단됨) additional.fields
identifying_number	about.labels.key/value(지원 중단됨) additional.fields

scheduled_tasks

다음 표에는 스키마 scheduled_tasks 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	target.resource.name
action	security_result.action_details
경로	target.file.full_path
enabled	about.labels.key/value(지원 중단됨) additional.fields
주	about.labels.key/value(지원 중단됨) additional.fields
hidden	about.labels.key/value(지원 중단됨) additional.fields
last_run_time	about.labels.key/value(지원 중단됨) additional.fields
next_run_time	about.labels.key/value(지원 중단됨) additional.fields
last_run_message	about.labels.key/value(지원 중단됨) additional.fields
last_run_code	about.labels.key/value(지원 중단됨) additional.fields

seccomp_events

다음 표에는 스키마 seccomp_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
시간	about.labels.key/value(지원 중단됨) additional.fields
uptime	about.labels.key/value(지원 중단됨) additional.fields
auid	about.labels.key/value(지원 중단됨) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
ses	about.labels.key/value(지원 중단됨) additional.fields
pid	target.process.pid
comm	about.labels.key/value(지원 중단됨) additional.fields
exe	target.file.full_path
sig	about.labels.key/value(지원 중단됨) additional.fields
arch	about.labels.key/value(지원 중단됨) additional.fields
syscall	about.labels.key/value(지원 중단됨) additional.fields
compat	about.labels.key/value(지원 중단됨) additional.fields
ip	about.labels.key/value(지원 중단됨) additional.fields
코드	about.labels.key/value(지원 중단됨) additional.fields

seLinux_events

다음 표에는 스키마 seLinux_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
유형	about.labels.key/value(지원 중단됨) additional.fields
메시지	metadata.description
시간	about.labels.key/value(지원 중단됨) additional.fields
uptime	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

shadow

다음 표에는 스키마 shadow 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
password_status	about.labels.key/value(지원 중단됨) additional.fields
hash_alg	about.labels.key/value(지원 중단됨) additional.fields
last_change	about.labels.key/value(지원 중단됨) additional.fields
분	about.labels.key/value(지원 중단됨) additional.fields
최대	about.labels.key/value(지원 중단됨) additional.fields
경고	about.labels.key/value(지원 중단됨) additional.fields
비활성	about.labels.key/value(지원 중단됨) additional.fields
expire	about.labels.key/value(지원 중단됨) additional.fields
깃발	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	principal.user.user_display_name

shell_history

다음 표에는 스키마 shell_history 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
uid	principal.user.userid
시간	about.labels.key/value(지원 중단됨) additional.fields
command	principal.process.command_line
history_file	principal.process.file.full_path

shimcache

다음 표에는 스키마 shimcache 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
entry	about.labels.key/value(지원 중단됨) additional.fields
경로	target.file.full_path
modified_time	target.file.last_modification_time
execution_flag	about.labels.key/value(지원 중단됨) additional.fields

signature

다음 표에는 스키마 signature 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
hash_resources	about.labels.key/value(지원 중단됨) additional.fields
arch	about.labels.key/value(지원 중단됨) additional.fields
서명됨	target.file.pe_file.signature_info.verified
identifier	target.file.pe_file.signature_info.signer
cdhash	about.labels.key/value(지원 중단됨) additional.fields
team_identifier	about.labels.key/value(지원 중단됨) additional.fields
authority	about.labels.key/value(지원 중단됨) additional.fields

sip_config

다음 표에는 스키마 sip_config 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
config_flag	about.labels.key/value(지원 중단됨) additional.fields
enabled	about.labels.key/value(지원 중단됨) additional.fields
enabled_nvram	about.labels.key/value(지원 중단됨) additional.fields

socket_events

다음 표에는 스키마 socket_events 및 OS Linux, macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
action	security_result.action_details
pid	target.process.pid
경로	target.process.file.full_path
fd	about.labels.key/value(지원 중단됨) additional.fields
auid	target.user.userid
상태	about.labels.key/value(지원 중단됨) additional.fields
가족	about.labels.key/value(지원 중단됨) additional.fields
프로토콜	about.labels.key/value(지원 중단됨) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
소켓	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
uptime	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id
성공	about.labels.key/value(지원 중단됨) additional.fields

sudoers

다음 표에는 스키마 sudoers 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
source	about.labels.key/value(지원 중단됨) additional.fields
header	about.labels.key/value(지원 중단됨) additional.fields
rule_details	about.labels.key/value(지원 중단됨) additional.fields

syslog_events

다음 표에는 스키마 syslog_events 및 OS Linux의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
시간	about.labels.key/value(지원 중단됨) additional.fields
datetime	about.labels.key/value(지원 중단됨) additional.fields
host	target.hostname
심각도	security_result.severity (enum)
facility	about.labels.key/value(지원 중단됨) additional.fields
태그	about.labels.key/value(지원 중단됨) additional.fields
메시지	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

system_info

다음 표에는 스키마 system_info 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
hostname	principal.administrative_domain
uuid	about.labels.key/value(지원 중단됨) additional.fields
cpu_type	about.labels.key/value(지원 중단됨) additional.fields
cpu_subtype	about.labels.key/value(지원 중단됨) additional.fields
cpu_brand	about.labels.key/value(지원 중단됨) additional.fields
cpu_physical_cores	about.labels.key/value(지원 중단됨) additional.fields
cpu_logical_cores	principal.asset.hardware.cpu_number_cores
cpu_microcode	about.labels.key/value(지원 중단됨) additional.fields
physical_memory	about.labels.key/value(지원 중단됨) additional.fields
hardware_vendor	about.labels.key/value(지원 중단됨) additional.fields
hardware_model	principal.asset.hardware.model
hardware_version	about.labels.key/value(지원 중단됨) additional.fields
hardware_serial	principal.asset.hardware.serial_number
board_vendor	about.labels.key/value(지원 중단됨) additional.fields
board_model	about.labels.key/value(지원 중단됨) additional.fields
board_version	about.labels.key/value(지원 중단됨) additional.fields
board_serial	about.labels.key/value(지원 중단됨) additional.fields
computer_name	about.labels.key/value(지원 중단됨) additional.fields
local_hostname	about.labels.key/value(지원 중단됨) additional.fields

tpm_info

다음 표에는 스키마 tpm_info 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
활성화됨	about.labels.key/value(지원 중단됨) additional.fields
enabled	about.labels.key/value(지원 중단됨) additional.fields
owned	about.labels.key/value(지원 중단됨) additional.fields
manufacturer_version	about.labels.key/value(지원 중단됨) additional.fields
manufacturer_id	about.labels.key/value(지원 중단됨) additional.fields
manufacturer_name	principal.aseet.hardware.manufacturer
product_name	principal.resource.name
physical_presence_version	about.labels.key/value(지원 중단됨) additional.fields
spec_version	about.labels.key/value(지원 중단됨) additional.fields

usb_devices

다음 표에는 스키마 usb_devices 및 OS Linux, macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
usb_address	about.labels.key/value(지원 중단됨) additional.fields
usb_port	about.labels.key/value(지원 중단됨) additional.fields
vendor	about.labels.key/value(지원 중단됨) additional.fields
vendor_id	about.labels.key/value(지원 중단됨) additional.fields
version	about.labels.key/value(지원 중단됨) additional.fields
model	target.asset.hardware.model
model_id	about.labels.key/value(지원 중단됨) additional.fields
serial	target.asset.hardware.serial_number
class	about.labels.key/value(지원 중단됨) additional.fields
subclass	about.labels.key/value(지원 중단됨) additional.fields
프로토콜	about.labels.key/value(지원 중단됨) additional.fields
removable	about.labels.key/value(지원 중단됨) additional.fields

user_events

다음 표에는 스키마 user_events 및 OS Linux, macOS, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
uid	principal.user.userid
auid	principal.user.attribute.labels.key/value
pid	target.process.pid
메시지	metadata.description
유형	about.labels.key/value(지원 중단됨) additional.fields
경로	target.file.full_path
주소	about.labels.key/value(지원 중단됨) additional.fields
터미널	about.labels.key/value(지원 중단됨) additional.fields
시간	metadata.collected_timestamp
uptime	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

user_groups

다음 표에는 스키마 user_groups 및 OS Linux, macOS, Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
uid	principal.user.userid
gid	principal.group.product_object_id

사용자

다음 표에는 스키마 users 및 OS macOS, Linux, Windows, FreeBSD의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
uid	principal.user.userid
gid	principal.user.group_identifiers(repeated)
uid_signed	about.labels.key/value(지원 중단됨) additional.fields
gid_signed	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	principal.user.user_display_name
설명	about.labels.key/value(지원 중단됨) additional.fields
directory	about.labels.key/value(지원 중단됨) additional.fields
shell	about.labels.key/value(지원 중단됨) additional.fields
uuid	principal.user.product_object_id
유형	about.labels.key/value(지원 중단됨) additional.fields
is_hidden	about.labels.key/value(지원 중단됨) additional.fields
pid_with_namespace	about.labels.key/value(지원 중단됨) additional.fields

wifi_networks

다음 표에는 스키마 wifi_networks 및 OS macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
ssid	target.labels.key/value(지원 중단됨) additional.fields
network_name	target.labels.key/value(지원 중단됨) additional.fields
security_type	target.labels.key/value(지원 중단됨) additional.fields
last_connected	about.labels.key/value(지원 중단됨) additional.fields
passpoint	about.labels.key/value(지원 중단됨) additional.fields
possibly_hidden	about.labels.key/value(지원 중단됨) additional.fields
roaming	about.labels.key/value(지원 중단됨) additional.fields
roaming_profile	about.labels.key/value(지원 중단됨) additional.fields
captive_portal	about.labels.key/value(지원 중단됨) additional.fields
auto_login	target.labels.key/value(지원 중단됨) additional.fields
temporarily_disabled	target.labels.key/value(지원 중단됨) additional.fields
disabled	target.labels.key/value(지원 중단됨) additional.fields

windows_crashes

다음 표에는 스키마 windows_crashes 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
datetime	about.labels.key/value(지원 중단됨) additional.fields
module	about.labels.key/value(지원 중단됨) additional.fields
경로	target.process.file.full_path
pid	target.process.pid
tid	about.labels.key/value(지원 중단됨) additional.fields
version	about.labels.key/value(지원 중단됨) additional.fields
process_uptime	about.labels.key/value(지원 중단됨) additional.fields
stack_trace	about.labels.key/value(지원 중단됨) additional.fields
exception_code	about.labels.key/value(지원 중단됨) additional.fields
exception_message	about.labels.key/value(지원 중단됨) additional.fields
exception_address	about.labels.key/value(지원 중단됨) additional.fields
registers	about.labels.key/value(지원 중단됨) additional.fields
command_line	target.process.command_line
current_directory	about.labels.key/value(지원 중단됨) additional.fields
사용자 이름	target.user.user_display_name
machine_name	about.labels.key/value(지원 중단됨) additional.fields
major_version	about.labels.key/value(지원 중단됨) additional.fields
minor_version	about.labels.key/value(지원 중단됨) additional.fields
build_number	target.platform_version
유형	about.labels.key/value(지원 중단됨) additional.fields
crash_path	about.labels.key/value(지원 중단됨) additional.fields

windows_eventlog

Windows 이벤트(WINEVTLOG) 파서가 이러한 이벤트를 매핑합니다. 자세한 내용은 Microsoft Windows 이벤트 데이터 수집을 참조하세요.

windows_events

Windows 이벤트(WINEVTLOG) 파서가 이러한 이벤트를 매핑합니다. 자세한 내용은 Microsoft Windows 이벤트 데이터 수집을 참조하세요.

windows_firewall_rules

다음 표에는 스키마 Windows_firewall_rules 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
name	about.labels.key/value(지원 중단됨) additional.fields
app_name	target.application
action	security_result.action (enum)
enabled	about.labels.key/value(지원 중단됨) additional.fields
grouping	about.labels.key/value(지원 중단됨) additional.fields
direction	network.direction
프로토콜	network.ip_protocol
local_addresses	principal.ip
remote_addresses	target.ip
local_ports	principal.port
remote_ports	target.port
icmp_types_codes	about.labels.key/value(지원 중단됨) additional.fields
profile_domain	about.labels.key/value(지원 중단됨) additional.fields
profile_private	about.labels.key/value(지원 중단됨) additional.fields
profile_public	about.labels.key/value(지원 중단됨) additional.fields
service_name	about.labels.key/value(지원 중단됨) additional.fields

windows_security_center

다음 표에는 스키마 Windows_security_center 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
방화벽	security_result.detection_fields.key/value
autoupdate	security_result.detection_fields.key/value
antivirus	security_result.detection_fields.key/value
antispyware	security_result.detection_fields.key/value
internet_settings	security_result.detection_fields.key/value
Windows_security_center_service	security_result.detection_fields.key/value
user_account_control	security_result.detection_fields.key/value

windows_security_products

다음 표에는 스키마 Windows_security_products 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
유형	about.labels.key/value(지원 중단됨) additional.fields
name	target.resource.name
주	about.labels.key/value(지원 중단됨) additional.fields
state_timestamp	about.labels.key/value(지원 중단됨) additional.fields
remediation_path	about.labels.key/value(지원 중단됨) additional.fields
signatures_up_to_date	about.labels.key/value(지원 중단됨) additional.fields

wmi_bios_info

다음 표에는 스키마 wmi_bios_info 및 OS Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드

UDM 매핑

metadata.event_type이 SETTING_MODIFICATION에 매핑됨

name

about.labels.key/value(지원 중단됨)

additional.fields

값

about.labels.key/value(지원 중단됨)

additional.fields

yara

다음 표에는 스키마 yara 및 OS Linux, macOS, FreeBSD, Windows의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
경로	target.file.full_path
일치	about.labels.key/value(지원 중단됨) additional.fields
count	about.labels.key/value(지원 중단됨) additional.fields
sig_group	security_result.detection_fields.key/value
sigfile	security_result.detection_fields.key/value
sigrule	security_result.detection_fields.key/value
strings	about.labels.key/value(지원 중단됨) additional.fields
tags	about.labels.key/value(지원 중단됨) additional.fields
sigurl	security_result.detection_fields.key/value

yara_events

다음 표에는 스키마 yara_events 및 OS Linux, macOS의 로그 필드와 해당 UDM 매핑이 나와 있습니다.

로그 필드	UDM 매핑
	metadata.event_type이 SETTING_MODIFICATION에 매핑됨
target_path	target.file.full_path
카테고리	about.labels.key/value(지원 중단됨) additional.fields
action	security_result.action_details
transaction_id	security_result.detection_fields.key/value
일치	about.labels.key/value(지원 중단됨) additional.fields
count	about.labels.key/value(지원 중단됨) additional.fields
strings	about.labels.key/value(지원 중단됨) additional.fields
tags	about.labels.key/value(지원 중단됨) additional.fields
시간	about.labels.key/value(지원 중단됨) additional.fields
eid	metadata.product_log_id

다음 단계

Google Security Operations에 데이터 수집