Esta página foi traduzida pela API Cloud Translation.

Coletar registros do osquery

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar registros de osquery configurando o osquery e um encaminhador de operações de segurança do Google. Este documento também lista os tipos de registro e as versões do osquery compatíveis.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Visão geral

O diagrama de arquitetura de implantação a seguir mostra como os agentes do osquery e o servidor do Fleet são configurados para enviar registros ao Google Security Operations. Cada implantação do cliente pode ser diferente dessa representação e mais complexa.

Arquitetura de implantação

O diagrama da arquitetura mostra os seguintes componentes:

Sistema Linux: o sistema Linux a ser monitorado em que o agente do osquery está instalado
Sistema Microsoft Windows: o sistema Microsoft Windows a ser monitorado em que o agente osquery está instalado.
Sistema Mac: o sistema Mac a ser monitorado em que o agente do osquery está instalado.
Agente osquery: coleta informações do sistema Microsoft Windows, Linux ou Mac e as encaminha para o servidor do Fleet.
Servidor de frota: monitora e recebe informações dos agentes do osquery, analisa os registros e os encaminha para o forwarder do Google Security Operations.
Encaminhador do Google Security Operations: um componente de software leve, implantado na rede do cliente para encaminhar os registros ao Google Security Operations.
Google Security Operations: retém e analisa os registros do servidor do Fleet.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com rótulo de transferência OSQUERY_EDR.

Antes de começar

Instale o servidor da frota. Para instalar o Fleet Server, faça o seguinte:
- Configurar um host.
- Instalar o Fleet Server.
Use uma versão do osquery compatível com o analisador de operações de segurança do Google, ou seja, 5.2.3 e 5.3.0.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Verifique se os nomes das tabelas no Fleet estão de acordo com a documentação oficial do Fleet.

Configurar o agente osquery, o servidor e o encaminhador de operações de segurança do Google

Para configurar o servidor da frota e o encaminhador de operações de segurança do Google, faça o seguinte:

Para configurar o servidor do Fleet, faça o seguinte:
Adicione hosts ao servidor do Fleet e instale o agente do osquery. É possível adicionar o host ao Fleet Server com um instalador do osquery. O Fleet Server ajuda a gerar um instalador do osquery com o comando de pacote fleetctl.
1. Instale a ferramenta de linha de comando fleetctl e execute o comando de pacote fleetctl.
2. Instale o agente osquery usando o comando de pacote fleetctl.
Quando você instala o instalador do osquery gerado em um host, ele se inscreve automaticamente na instância do Fleet especificada.
Buscar os registros do agente do osquery. Para criar uma consulta no Fleet para buscar os registros, consulte Criar uma consulta. Para programar uma consulta, consulte Programar uma consulta.
Configure o forwarder do Google Security Operations em um dispositivo Linux central para enviar os registros ao sistema do Google Security Operations. Para mais informações, acesse Instalar e configurar o forwarder no Linux. Confira a seguir um exemplo de configuração de um encaminhador do Google SecOps:
```
  - file:
      common:
        enabled: true
        data_type: OSQUERY_EDR
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      skip_seek_to_end: true
      file_path: <log_file_path>
```
Observação: o analisador osquery não oferece suporte a aliases de tabelas e colunas.

Referência do mapeamento de campo

Esta seção explica como o analisador de operações de segurança do Google mapeia os campos de registro de osquery para os campos do modelo de dados unificado (UDM, na sigla em inglês) de operações de segurança do Google para o esquema e o sistema operacional. Para mais informações, consulte o esquema do osquery para a versão 5.2.3 e a versão 5.3.0.

account_policy_data

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema account_policy_data e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
uid	principal.user.userid
creation_time	principal.user.attribute.creation_time
failed_login_count	principal.user.attribute.labels.key/value
failed_login_timestamp	principal.user.attribute.labels.key/value
password_last_set_time	principal.user.attribute.labels.key/value

ad_config

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema ad_config e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	about.labels.key/value (descontinuado) additional.fields
domínio	target.administrative_domain
opção	about.labels.key (descontinuado) additional.fields.key
valor	about.labels.value (descontinuado) additional.fields.value.string_value

alf

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema alf e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
allow_signed_enabled	about.labels.key/value (descontinuado) additional.fields
firewall_unload	about.labels.key/value (descontinuado) additional.fields
global_state	about.labels.key/value (descontinuado) additional.fields
logging_enabled	about.labels.key/value (descontinuado) additional.fields
logging_option	about.labels.key/value (descontinuado) additional.fields
stealth_enabled	about.labels.key/value (descontinuado) additional.fields
version	target.platform_version

alf_exceptions

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema alf_exceptions e o SO macOS:

Campo de registro

Mapeamento de UDM

metadata.event_type é mapeado para SETTING_MODIFICATION

path

target.file.full_path

estado

about.labels.key/value (descontinuado)

additional.fields

alf_explicit_auths

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema alf_explicit_auths e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
difusão reversa que restaura	target.process.pid

app_schemes

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema app_schemes e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
esquema	about.labels.key/value (descontinuado) additional.fields
handler	about.labels.key/value (descontinuado) additional.fields
ativado	about.labels.key/value (descontinuado) additional.fields
externo	about.labels.key/value (descontinuado) additional.fields
protegido	about.labels.key/value (descontinuado) additional.fields

apparmor_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema apparmor_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tipo	about.labels.key/value (descontinuado) additional.fields
mensagem	metadata.description
tempo	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
eid	security_result.rule_id
apparmor	security_result.action
operação	about.labels.key/value (descontinuado) additional.fields
primária	target.process.parent_process.pid
perfil	about.labels.key/value (descontinuado) additional.fields
name	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
comm	target.process.command_line
denied_mask	about.labels.key/value (descontinuado) additional.fields
capname	about.labels.key/value (descontinuado) additional.fields
fsuid	target.user.attribute.labels.key/value
ouid	target.user.attribute.labels.key/value
capacidade	about.labels.key/value (descontinuado) additional.fields
requested_mask	target.process.access_mask
informações	about.labels.key/value (descontinuado) additional.fields
erro	security_result.summary
namespace	about.labels.key/value (descontinuado) additional.fields
o rótulo.	about.labels.key/value (descontinuado) additional.fields

apparmor_profiles

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema apparmor_profiles e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
name	target.resource.name
anexar	about.labels.key/value (descontinuado) additional.fields
modo	about.labels.key/value (descontinuado) additional.fields
sha1	target.file.sha1

apps

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os apps de esquema e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	target.application
path	target.file.full_path
bundle_executable	about.labels.key/value (descontinuado) additional.fields
bundle_identifier	target.resource.product_object_id
bundle_name	target.resource.name
bundle_short_version	target.resource.attribute.labels.key/value
bundle_version	target.resource.attribute.labels.key/value
bundle_package_type	about.labels.key/value (descontinuado) additional.fields
ambiente	about.labels.key/value (descontinuado) additional.fields
elemento	about.labels.key/value (descontinuado) additional.fields
compilador	about.labels.key/value (descontinuado) additional.fields
development_region	about.location.country_or_region
display_name	about.labels.key/value (descontinuado) additional.fields
info_string	about.labels.key/value (descontinuado) additional.fields
minimum_system_version	about.labels.key/value (descontinuado) additional.fields
categoria	about.labels.key/value (descontinuado) additional.fields
applescript_enabled	about.labels.key/value (descontinuado) additional.fields
direitos autorais	about.labels.key/value (descontinuado) additional.fields
last_opened_time	target.file.last_seen_time

asl

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema asl e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tempo	about.labels.key/value (descontinuado) additional.fields
time_nano_sec	about.labels.key/value (descontinuado) additional.fields
host	target.hostname
sender	about.labels.key/value (descontinuado) additional.fields
instalação	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
gid	target.user.group_identifiers
uid	target.user.userid
level	about.labels.key/value (descontinuado) additional.fields
mensagem	metadata.description
ref_pid	about.labels.key/value (descontinuado) additional.fields
ref_proc	about.labels.key/value (descontinuado) additional.fields
extra	about.labels.key/value (descontinuado) additional.fields

Authenticode

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema authenticode e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
original_program_name	about.labels.key/value (descontinuado) additional.fields
serial_number	network.tls.client.certificate.serial
issuer_name	network.tls.client.certificate.issuer
subject_name	network.tls.client.certificate.subject
result	security_result.summary

authorization_mechanisms

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os mecanismos de autorização do esquema e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
o rótulo.	about.labels.key/value (descontinuado) additional.fields
plugin	about.labels.key/value (descontinuado) additional.fields
mecanismo	about.labels.key/value (descontinuado) additional.fields
privilegiado	about.labels.key/value (descontinuado) additional.fields
entry	about.labels.key/value (descontinuado) additional.fields

autorizações

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para as autorizações de esquema e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
o rótulo.	about.labels.key/value (descontinuado) additional.fields
modificada(s)	about.labels.key/value (descontinuado) additional.fields
allow_root	about.labels.key/value (descontinuado) additional.fields
timeout	about.labels.key/value (descontinuado) additional.fields
version	about.labels.key/value (descontinuado) additional.fields
tentativas	about.labels.key/value (descontinuado) additional.fields
authenticate_user	about.labels.key/value (descontinuado) additional.fields
compartilhados	about.labels.key/value (descontinuado) additional.fields
comentário	about.labels.key/value (descontinuado) additional.fields
criada	about.labels.key/value (descontinuado) additional.fields
classe	about.labels.key/value (descontinuado) additional.fields
session_owner	about.labels.key/value (descontinuado) additional.fields

autoexec

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para a autoexec de esquema e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
name	target.application
source	target.resource.name

bitlocker_info

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema bitlocker_info e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
device_id	target.resource.product_object_id
drive_letter	target.resource.name
persistent_volume_id	about.labels.key/value (descontinuado) additional.fields
conversion_status	target.resource.attirbute.labels.key/value
protection_status	target.resource.attirbute.labels.key/value
encryption_method	target.resource.attirbute.labels.key/value
version	metadata.product_version
percentage_encrypted	target.resource.attirbute.labels.key/value
lock_status	target.resource.attirbute.labels.key/value

bpf_process_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema bpf_process_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tid	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
primária	target.process.parent_process.pid
uid	principal.user.userid
gid	principal.group.product_object_id
cid	about.labels.key/value (descontinuado) additional.fields
exit_code	about.labels.key/value (descontinuado) additional.fields
probe_error	about.labels.key/value (descontinuado) additional.fields
syscall	about.labels.key/value (descontinuado) additional.fields
path	target.process.file.full_path
cwd	about.labels.key/value (descontinuado) additional.fields
cmdline	target.process.command_line
duration	about.labels.key/value (descontinuado) additional.fields
json_cmdline	about.labels.key/value (descontinuado) additional.fields
ntime	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

bpf_socket_events

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema bpf_socket_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tid	about.labels.key/value (descontinuado) additional.fields
pid	principal.process.pid
primária	principal.process.parent_process.pid
uid	principal.user.userid
gid	principal.group.product_object_id
cid	about.labels.key/value (descontinuado) additional.fields
exit_code	about.labels.key/value (descontinuado) additional.fields
probe_error	about.labels.key/value (descontinuado) additional.fields
syscall	about.labels.key/value (descontinuado) additional.fields
path	target.file.full_path
fd	about.labels.key/value (descontinuado) additional.fields
família	about.labels.key/value (descontinuado) additional.fields
tipo	about.labels.key/value (descontinuado) additional.fields
protocolo	about.labels.key/value (descontinuado) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
duration	about.labels.key/value (descontinuado) additional.fields
ntime	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

certificados

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os certificados de esquema e o SO macOS e Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
common_name	about.labels.key/value (descontinuado) additional.fields
subject	network.tls.client.certificate.subject
issuer	network.tls.client.certificate.issuer
ac	about.labels.key/value (descontinuado) additional.fields
self_signed	about.labels.key/value (descontinuado) additional.fields
not_valid_before	network.tls.client.certificate.not_before
not_valid_after	network.tls.client.certificate.not_after
signing_algorithm	about.labels.key/value (descontinuado) additional.fields
key_algorithm	about.labels.key/value (descontinuado) additional.fields
key_strength	about.labels.key/value (descontinuado) additional.fields
key_usage	about.labels.key/value (descontinuado) additional.fields
subject_key_id	about.labels.key/value (descontinuado) additional.fields
authority_key_id	about.labels.key/value (descontinuado) additional.fields
sha1	network.tls.client.certificate.sha1
path	about.labels.key/value (descontinuado) additional.fields
serial	network.tls.client.certificate.serial
sid	about.labels.key/value (descontinuado) additional.fields
store_location	about.labels.key/value (descontinuado) additional.fields
loja	about.labels.key/value (descontinuado) additional.fields
nome de usuário	principal.user.user_display_name
store_id	about.labels.key/value (descontinuado) additional.fields

chassis_info

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema chassis_info e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
audible_alarm	about.labels.key/value (descontinuado) additional.fields
breach_description	security_result.description
chassis_types	about.labels.key/value (descontinuado) additional.fields
description	metadata.description
cadeado	about.labels.key/value (descontinuado) additional.fields
fabricante	principal.asset.hardware.manufacturer
modelo	principal.asset.hardware.model
security_breach	security_result.detection_fields.key/value
serial	principal.asset.hardware.serial_number
smbios_tag	about.labels.key/value (descontinuado) additional.fields
SKU	about.labels.key/value (descontinuado) additional.fields
status	about.labels.key/value (descontinuado) additional.fields
visible_alarm	about.labels.key/value (descontinuado) additional.fields

chrome_extensions

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema chrome_extensions e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
browser_type	target.resource.attribute.labels.key/value
uid	principal.user.userid
name	target.resource.name
perfil	target.resource.attribute.labels.key/value
profile_path	target.resource.attribute.labels.key/value
referenced_identifier	target.resource.attribute.labels.key/value
identificador	target.resource.attribute.labels.key/value
version	target.resource.attribute.labels.key/value
description	target.resource.attribute.labels.key/value
default_locale	target.resource.attribute.labels.key/value
current_locale	target.resource.attribute.labels.key/value
update_url	network.http.referral_url
author (autor)	target.resource.attribute.labels.key/value
permanentes	target.resource.attribute.labels.key/value
path	target.file.full_path
permissões	target.resource.attribute.labels.key/value
permissions_json	target.resource.attribute.labels.key/value
optional_permissions	target.resource.attribute.labels.key/value
optional_permissions_json	target.resource.attribute.labels.key/value
manifest_hash	target.resource.attribute.labels.key/value
referenciado	target.resource.attribute.labels.key/value
from_webstore	target.resource.attribute.labels.key/value
estado	target.resource.attribute.labels.key/value
install_time	target.resource.attribute.labels.key/value
install_timestamp	target.resource.attribute.labels.key/value
manifest_json	target.resource.attribute.labels.key/value
chave	target.resource.attribute.labels.key/value

conectividade

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para a conectividade do esquema e o Windows OS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
desconectado	about.labels.key/value (descontinuado) additional.fields
ipv4_no_traffic	about.labels.key/value (descontinuado) additional.fields
ipv6_no_traffic	about.labels.key/value (descontinuado) additional.fields
ipv4_subnet	about.labels.key/value (descontinuado) additional.fields
ipv4_local_network	about.labels.key/value (descontinuado) additional.fields
ipv4_internet	about.labels.key/value (descontinuado) additional.fields
ipv6_subnet	about.labels.key/value (descontinuado) additional.fields
ipv6_local_network	about.labels.key/value (descontinuado) additional.fields
ipv6_internet	about.labels.key/value (descontinuado) additional.fields

cpu_info

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema cpu_info e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
device_id	principal.asset.product_object_id
modelo	principal.asset.hardware.model
fabricante	principal.asset.hardware.manufacturer
processor_type	about.labels.key/value (descontinuado) additional.fields
Disponibilidade	about.labels.key/value (descontinuado) additional.fields
cpu_status	about.labels.key/value (descontinuado) additional.fields
number_of_cores	principal.asset.hardware.cpu_number_cores
logical_processors	about.labels.key/value (descontinuado) additional.fields
address_width	about.labels.key/value (descontinuado) additional.fields
current_clock_speed	principal.asset.hardware.cpu_clock_speed
max_clock_speed	principal.asset.hardware.cpu_max_clock_speed
socket_designation	about.labels.key/value (descontinuado) additional.fields

falhas

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para falhas de esquema e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tipo	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
path	target.process.file.full_path
crash_path	target.file.full_path
identificador	about.labels.key/value (descontinuado) additional.fields
version	about.labels.key/value (descontinuado) additional.fields
primária	target.process.parent_process.pid
responsável	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
datetime	metadata.event_timestamp
crashed_thread	about.labels.key/value (descontinuado) additional.fields
stack_trace	about.labels.key/value (descontinuado) additional.fields
exception_type	about.labels.key/value (descontinuado) additional.fields
exception_codes	about.labels.key/value (descontinuado) additional.fields
exception_notes	about.labels.key/value (descontinuado) additional.fields
registros	about.labels.key/value (descontinuado) additional.fields

crontab

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema crontab e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
evento	about.labels.key/value (descontinuado) additional.fields
minuto	about.labels.key/value (descontinuado) additional.fields
hora	about.labels.key/value (descontinuado) additional.fields
day_of_month	about.labels.key/value (descontinuado) additional.fields
mês	about.labels.key/value (descontinuado) additional.fields
day_of_week	about.labels.key/value (descontinuado) additional.fields
comando	principal.process.command_line
path	principal.process.file.full_path
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields

curl

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o curl do esquema e o SO macOS, Linux, Windows e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
url	network.http.referral_url
método	network.http.method
user_agent	network.http.user_agent
response_code	network.http.response_code
round_trip_time	network.session_duration
bytes	network.received_bytes
result	about.labels.key/value (descontinuado) additional.fields

curl_certificate

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema curl_certificate e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
nome do host	principal.hostname
common_name	about.labels.key/value (descontinuado) additional.fields
organização	network.organization_name
organization_unit	about.labels.key/value (descontinuado) additional.fields
serial_number	network.tls.server.certificate.serial
issuer_common_name	about.labels.key/value (descontinuado) additional.fields
issuer_organization	network.tls.server.certificate.issuer
issuer_organization_unit	about.labels.key/value (descontinuado) additional.fields
valid_from	network.tls.server.certificate.not_before
valid_to	network.tls.server.certificate.not_after
sha256_fingerprint	network.tls.server.certificate.sha256
sha1_fingerprint	network.tls.server.certificate.sha1
version	network.tls.server.certificate.version
signature_algorithm	about.labels.key/value (descontinuado) additional.fields
signature	about.labels.key/value (descontinuado) additional.fields
subject_key_identifier	about.labels.key/value (descontinuado) additional.fields
authority_key_identifier	about.labels.key/value (descontinuado) additional.fields
key_usage	about.labels.key/value (descontinuado) additional.fields
extended_key_usage	about.labels.key/value (descontinuado) additional.fields
políticas	about.labels.key/value (descontinuado) additional.fields
subject_alternative_names	about.labels.key/value (descontinuado) additional.fields
issuer_alternative_names	about.labels.key/value (descontinuado) additional.fields
info_access	about.labels.key/value (descontinuado) additional.fields
subject_info_access	about.labels.key/value (descontinuado) additional.fields
policy_mappings	about.labels.key/value (descontinuado) additional.fields
has_expired	about.labels.key/value (descontinuado) additional.fields
basic_constraint	about.labels.key/value (descontinuado) additional.fields
name_constraints	about.labels.key/value (descontinuado) additional.fields
policy_constraints	about.labels.key/value (descontinuado) additional.fields
dump_certificate	about.labels.key/value (descontinuado) additional.fields
timeout	about.labels.key/value (descontinuado) additional.fields
pem	about.labels.key/value (descontinuado) additional.fields

device_file

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema device_file e o SO Linux, macOS, FreeBSD e Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
device	about.labels.key/value (descontinuado) additional.fields
partição	about.labels.key/value (descontinuado) additional.fields
path	target.file.full_path
filename	target.file.names
inode	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
modo	about.labels.key/value (descontinuado) additional.fields
tamanho	target.file.size
block_size	about.labels.key/value (descontinuado) additional.fields
atime	about.labels.key/value (descontinuado) additional.fields
mtime	target.file.last_modification_time
ctime	about.labels.key/value (descontinuado) additional.fields
hard_links	about.labels.key/value (descontinuado) additional.fields
tipo	about.labels.key/value (descontinuado) additional.fields

device_hash

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema device_hash e o SO Linux, macOS, FreeBSD e Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
device	target.file.full_path
partição	about.labels.key/value (descontinuado) additional.fields
inode	about.labels.key/value (descontinuado) additional.fields
md5	target.file.md5
sha1	target.file.sha1
sha256	target.file.sha56

disk_info

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema disk_info e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
partições	principal.asset.attribute.labels.key/value
disk_index	principal.asset.attribute.labels.key/value
tipo	principal.asset.attribute.labels.key/value
id	principal.asset.product_object_id
pnp_device_id	about.labels.key/value (descontinuado) additional.fields
disk_size	principal.asset.attribute.labels.key/value
fabricante	principal.asset.hardware.manufacturer
hardware_model	principal.asset.hardware.model
name	principal.asset.attribute.labels.key/value
serial	principal.asset.hardware.serial_number
description	principal.asset.attribute.labels.key/value

dns_cache

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema dns_cache e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	network.dns.additional.name
tipo	about.labels.key/value (descontinuado) additional.fields
flags	about.labels.key/value (descontinuado) additional.fields

dns_resolvers

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema dns_resolvers e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	about.labels.key/value (descontinuado) additional.fields
tipo	about.labels.key/value (descontinuado) additional.fields
address	principal.ip
máscara de rede	about.labels.key/value (descontinuado) additional.fields
options	about.labels.key/value (descontinuado) additional.fields
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields

docker_container_networks

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_container_networks e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.asset.product_object_id
name	network.carrier_name
network_id	about.labels.key/value (descontinuado) additional.fields
endpoint_id	about.labels.key/value (descontinuado) additional.fields
gateway	about.labels.key/value (descontinuado) additional.fields
ip_address	target.ip
ip_prefix_len	about.labels.key/value (descontinuado) additional.fields
ipv6_gateway	about.labels.key/value (descontinuado) additional.fields
ipv6_address	target.ip
ipv6_prefix_len	about.labels.key/value (descontinuado) additional.fields
mac_address	target.mac

docker_container_ports

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_container_ports e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.asset.product_object_id
tipo	network.ip_protocol
porta	target.port
host_ip	principal.ip
host_port	principal.port

docker_container_processes

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema docker_container_processes e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.asset.product_object_id
pid	target.process.pid
name	target.process.file.full_path
cmdline	target.process.command_line
estado	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
euid	target.user.attribute.labels.key/value
egid	target.group.attribute.labels.key/value
suid	target.user.attribute.labels.key/value
sgid	target.group.attribute.labels.key/value
wired_size	about.labels.key/value (descontinuado) additional.fields
resident_size	about.labels.key/value (descontinuado) additional.fields
total_size	about.labels.key/value (descontinuado) additional.fields
start_time	about.labels.key/value (descontinuado) additional.fields
primária	target.process.parent_process.pid
pgroup	about.labels.key/value (descontinuado) additional.fields
threads	about.labels.key/value (descontinuado) additional.fields
legal	about.labels.key/value (descontinuado) additional.fields
usuário	target.user.user_display_name
tempo	about.labels.key/value (descontinuado) additional.fields
cpu	about.labels.key/value (descontinuado) additional.fields
mem	about.labels.key/value (descontinuado) additional.fields

docker_container_stats

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema docker_container_stats e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.resource.product_object_id
name	target.resource.name
pids	about.labels.key/value (descontinuado) additional.fields
ler	about.labels.key/value (descontinuado) additional.fields
pré-leitura	about.labels.key/value (descontinuado) additional.fields
interval	about.labels.key/value (descontinuado) additional.fields
disk_read	about.labels.key/value (descontinuado) additional.fields
disk_write	about.labels.key/value (descontinuado) additional.fields
num_procs	about.labels.key/value (descontinuado) additional.fields
cpu_total_usage	about.labels.key/value (descontinuado) additional.fields
cpu_kernelmode_usage	about.labels.key/value (descontinuado) additional.fields
cpu_usermode_usage	about.labels.key/value (descontinuado) additional.fields
system_cpu_usage	about.labels.key/value (descontinuado) additional.fields
online_cpus	about.labels.key/value (descontinuado) additional.fields
pre_cpu_total_usage	about.labels.key/value (descontinuado) additional.fields
pre_cpu_kernelmode_usage	about.labels.key/value (descontinuado) additional.fields
pre_cpu_usermode_usage	about.labels.key/value (descontinuado) additional.fields
pre_system_cpu_usage	about.labels.key/value (descontinuado) additional.fields
pre_online_cpus	about.labels.key/value (descontinuado) additional.fields
memory_usage	about.labels.key/value (descontinuado) additional.fields
memory_max_usage	about.labels.key/value (descontinuado) additional.fields
memory_limit	about.labels.key/value (descontinuado) additional.fields
network_rx_bytes	about.labels.key/value (descontinuado) additional.fields
network_tx_bytes	about.labels.key/value (descontinuado) additional.fields

docker_info

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_info e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.resource.product_object_id
Contêineres	about.labels.key/value (descontinuado) additional.fields
containers_running	about.labels.key/value (descontinuado) additional.fields
containers_paused	about.labels.key/value (descontinuado) additional.fields
containers_stopped	about.labels.key/value (descontinuado) additional.fields
imagens	about.labels.key/value (descontinuado) additional.fields
storage_driver	about.labels.key/value (descontinuado) additional.fields
memory_limit	about.labels.key/value (descontinuado) additional.fields
swap_limit	about.labels.key/value (descontinuado) additional.fields
kernel_memory	about.labels.key/value (descontinuado) additional.fields
cpu_cfs_period	about.labels.key/value (descontinuado) additional.fields
cpu_cfs_quota	about.labels.key/value (descontinuado) additional.fields
cpu_shares	about.labels.key/value (descontinuado) additional.fields
cpu_set	about.labels.key/value (descontinuado) additional.fields
ipv4_forwarding	about.labels.key/value (descontinuado) additional.fields
bridge_nf_iptables	about.labels.key/value (descontinuado) additional.fields
bridge_nf_ip6tables	about.labels.key/value (descontinuado) additional.fields
oom_kill_disable	about.labels.key/value (descontinuado) additional.fields
logging_driver	about.labels.key/value (descontinuado) additional.fields
cgroup_driver	about.labels.key/value (descontinuado) additional.fields
kernel_version	about.labels.key/value (descontinuado) additional.fields
os	about.labels.key/value (descontinuado) additional.fields
os_type	target.platform(enum)
arquitetura	about.labels.key/value (descontinuado) additional.fields
cpus	about.labels.key/value (descontinuado) additional.fields
memória	about.labels.key/value (descontinuado) additional.fields
http_proxy	about.labels.key/value (descontinuado) additional.fields
https_proxy	about.labels.key/value (descontinuado) additional.fields
no_proxy	about.labels.key/value (descontinuado) additional.fields
name	target.hostname
server_version	target.platform_version
root_dir	target.file.full_path

docker_network_labels

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_network_labels e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.resource.product_object_id
chave	target.resource.attribute.labels.key/value
valor	about.labels.key/value (descontinuado) additional.fields

docker_networks

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema docker_networks e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
id	target.resource.product_object_id
name	about.labels.key/value (descontinuado) additional.fields
motorista	about.labels.key/value (descontinuado) additional.fields
criada	target.resource.attribute.creation_time
enable_ipv6	about.labels.key/value (descontinuado) additional.fields
sub-rede	about.labels.key/value (descontinuado) additional.fields
gateway	about.labels.key/value (descontinuado) additional.fields

ec2_instance_metadata

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema ec2_instance_metadata e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
instance_id	target.resource.product_object_id
instance_type	about.labels.key/value (descontinuado) additional.fields
arquitetura	about.labels.key/value (descontinuado) additional.fields
região	target.location.country_or_region
availability_zone	about.labels.key/value (descontinuado) additional.fields
local_hostname	target.hostname
local_ipv4	target.ip
mac	target.mac
security_groups	about.labels.key/value (descontinuado) additional.fields
iam_arn	about.labels.key/value (descontinuado) additional.fields
ami_id	about.labels.key/value (descontinuado) additional.fields
reservation_id	about.labels.key/value (descontinuado) additional.fields
account_id	target.user.userid
ssh_public_key	about.labels.key/value (descontinuado) additional.fields

es_process_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema es_process_events e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
version	target.platform_version
seq_num	about.labels.key/value (descontinuado) additional.fields
global_seq_num	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
path	target.process.file.full_path
primária	target.process.parent_process.pid
original_parent	about.labels.key/value (descontinuado) additional.fields
cmdline	target.process.command_line
cmdline_count	about.labels.key/value (descontinuado) additional.fields
env	about.labels.key/value (descontinuado) additional.fields
env_count	about.labels.key/value (descontinuado) additional.fields
cwd	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
euid	about.labels.key/value (descontinuado) additional.fields
gid	target.group.product_object_id
egid	about.labels.key/value (descontinuado) additional.fields
nome de usuário	target.user.user_display_name
signing_id	about.labels.key/value (descontinuado) additional.fields
team_id	about.labels.key/value (descontinuado) additional.fields
cdhash	about.labels.key/value (descontinuado) additional.fields
platform_binary	about.labels.key/value (descontinuado) additional.fields
exit_code	about.labels.key/value (descontinuado) additional.fields
child_pid	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
event_type	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

etc_hosts

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema etc_hosts e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
address	target.ip
nomes de host	about.hostname
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields

etc_protocols

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema etc_protocols e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	network.ip_protocol
number	about.labels.key/value (descontinuado) additional.fields
alias	about.labels.key/value (descontinuado) additional.fields
comentário	about.labels.key/value (descontinuado) additional.fields

etc_services

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema etc_services e o SO macOS, Linux, Windows e freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	target.resource.name
porta	target.port
protocolo	network.ip_protocol
aliases	about.labels.key/value (descontinuado) additional.fields
comentário	about.labels.key/value (descontinuado) additional.fields

arquivo

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o arquivo de esquema e o SO macOS, Linux, Windows e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
diretório	about.labels.key/value (descontinuado) additional.fields
filename	target.file.names
inode	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
modo	about.labels.key/value (descontinuado) additional.fields
device	target.asset.asset_id
tamanho	target.file.size
block_size	about.labels.key/value (descontinuado) additional.fields
atime	target.file.last_seen_time
mtime	target.file.last_modification_time
ctime	about.labels.key/value (descontinuado) additional.fields
btime	about.labels.key/value (descontinuado) additional.fields
hard_links	about.labels.key/value (descontinuado) additional.fields
symlink	about.labels.key/value (descontinuado) additional.fields
tipo	about.labels.key/value (descontinuado) additional.fields
atributos	about.labels.key/value (descontinuado) additional.fields
volume_serial	about.labels.key/value (descontinuado) additional.fields
file_id	about.labels.key/value (descontinuado) additional.fields
file_version	about.labels.key/value (descontinuado) additional.fields
product_version	about.labels.key/value (descontinuado) additional.fields
bsd_flags	about.labels.key/value (descontinuado) additional.fields
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields
mount_namespace_id	about.labels.key/value (descontinuado) additional.fields

file_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema file_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
operação	about.labels.key/value (descontinuado) additional.fields
pid	principal.process.pid
ppid	principal.process.parent_process.pid
tempo	about.labels.key/value (descontinuado) additional.fields
executável	about.labels.key/value (descontinuado) additional.fields
parcial	about.labels.key/value (descontinuado) additional.fields
cwd	about.labels.key/value (descontinuado) additional.fields
path	src.file.full_path
dest_path	target.file.full_path
uid	principal.user.userid
gid	principal.group.product_object_id
auid	about.labels.key/value (descontinuado) additional.fields
euid	about.labels.key/value (descontinuado) additional.fields
egid	about.labels.key/value (descontinuado) additional.fields
fsuid	about.labels.key/value (descontinuado) additional.fields
fsgid	about.labels.key/value (descontinuado) additional.fields
suid	about.labels.key/value (descontinuado) additional.fields
sgid	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

gatekeeper

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o gatekeeper do esquema e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
assessments_enabled	about.labels.key/value (descontinuado) additional.fields
dev_id_enabled	about.labels.key/value (descontinuado) additional.fields
version	target.asset.software.version
opaque_version	about.labels.key/value (descontinuado) additional.fields

gatekeeper_approved_apps

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema gatekeeper_approved_apps e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
requisito	about.labels.key/value (descontinuado) additional.fields
ctime	about.labels.key/value (descontinuado) additional.fields
mtime	target.resource.attribute.last_update_time

grupos

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os grupos de esquema e o SO macOS, Linux, Windows e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
gid	target.group.attribute.labels.key/value
gid_signed	target.group.attribute.labels.key/value
groupname	target.group.group_display_name
group_sid	target.group.product_object_id
comentário	target.group.attribute.labels.key/value
is_hidden	target.group.attribute.labels.key/value
pid_with_namespace	target.group.attribute.labels.key/value

hardware_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema hardware_events e o SO Linux, macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
ação	security_result.action_details
path	target.asset.attribute.labels.key/value
tipo	target.asset.attribute.labels.key/value
motorista	target.asset.attribute.labels.key/value
fornecedor	target.asset.attribute.labels.key/value
vendor_id	target.asset.attribute.labels.key/value
modelo	target.asset.hardware.model
model_id	target.asset.attribute.labels.key/value
serial	target.asset.attribute.labels.key/value
revisão	target.asset.attribute.labels.key/value
tempo	metadata.event_timestamp
eid	metadata.product_log_id

jogo da velha

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o hash do esquema e o SO macOS, Linux, Windows e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
diretório	about.labels.key/value (descontinuado) additional.fields
md5	target.file.md5
sha1	target.file.sha1
sha256	target.file.sha256
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields
mount_namespace_id	about.labels.key/value (descontinuado) additional.fields

interface_addresses

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema interface_addresses e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
Interface	about.labels.key/value (descontinuado) additional.fields
address	target.ip
máscara	about.labels.key/value (descontinuado) additional.fields
transmitir	about.labels.key/value (descontinuado) additional.fields
point_to_point	about.labels.key/value (descontinuado) additional.fields
tipo	about.labels.key/value (descontinuado) additional.fields
friendly_name	about.labels.key/value (descontinuado) additional.fields

interface_details

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema interface_details e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
Interface	about.labels.key/value (descontinuado) additional.fields
mac	target.mac
tipo	about.labels.key/value (descontinuado) additional.fields
mtu	about.labels.key/value (descontinuado) additional.fields
métrica	about.labels.key/value (descontinuado) additional.fields
flags	about.labels.key/value (descontinuado) additional.fields
ipackets	about.labels.key/value (descontinuado) additional.fields
opackets	about.labels.key/value (descontinuado) additional.fields
ibytes	network.sent_bytes
obytes	network.received_bytes
ierrors	about.labels.key/value (descontinuado) additional.fields
oerrors	about.labels.key/value (descontinuado) additional.fields
idrops	about.labels.key/value (descontinuado) additional.fields
odrops	about.labels.key/value (descontinuado) additional.fields
colisões	about.labels.key/value (descontinuado) additional.fields
last_change	about.labels.key/value (descontinuado) additional.fields
link_speed	about.labels.key/value (descontinuado) additional.fields
pci_slot	about.labels.key/value (descontinuado) additional.fields
friendly_name	about.labels.key/value (descontinuado) additional.fields
description	about.labels.key/value (descontinuado) additional.fields
fabricante	target.asset.hardware.manufacturer
connection_id	about.labels.key/value (descontinuado) additional.fields
connection_status	about.labels.key/value (descontinuado) additional.fields
ativado	about.labels.key/value (descontinuado) additional.fields
physical_adapter	about.labels.key/value (descontinuado) additional.fields
velocidade	about.labels.key/value (descontinuado) additional.fields
serviço	target.application
dhcp_enabled	about.labels.key/value (descontinuado) additional.fields
dhcp_lease_expires	network.dhcp.lease_time_seconds
dhcp_lease_obtained	about.labels.key/value (descontinuado) additional.fields
dhcp_server	network.dhcp.yiaddr
dns_domain	network.dns.questions.name
dns_domain_suffix_search_order	about.labels.key/value (descontinuado) additional.fields
dns_host_name	about.labels.key/value (descontinuado) additional.fields
dns_server_search_order	about.labels.key/value (descontinuado) additional.fields

interface_ipv6

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema interface_ipv6 e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
Interface	about.labels.key/value (descontinuado) additional.fields
hop_limit	about.labels.key/value (descontinuado) additional.fields
forwarding_enabled	about.labels.key/value (descontinuado) additional.fields
redirect_accept	about.labels.key/value (descontinuado) additional.fields
rtadv_accept	about.labels.key/value (descontinuado) additional.fields

iptables

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema iptables e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
filter_name	about.labels.key/value (descontinuado) additional.fields
cadeia	about.labels.key/value (descontinuado) additional.fields
política	about.labels.key/value (descontinuado) additional.fields
target	about.labels.key/value (descontinuado) additional.fields
protocolo	about.labels.key/value (descontinuado) additional.fields
src_port	src.port
dst_port	target.port
src_ip	src.ip
src_mask	about.labels.key/value (descontinuado) additional.fields
iniface	about.labels.key/value (descontinuado) additional.fields
iniface_mask	about.labels.key/value (descontinuado) additional.fields
dst_ip	target.ip
dst_mask	about.labels.key/value (descontinuado) additional.fields
outiface	about.labels.key/value (descontinuado) additional.fields
outiface_mask	about.labels.key/value (descontinuado) additional.fields
correspondência	about.labels.key/value (descontinuado) additional.fields
pacotes	about.labels.key/value (descontinuado) additional.fields
bytes	network.received_bytes

kernel_panics

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema kernel_panics e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
tempo	about.labels.key/value (descontinuado) additional.fields
registros	about.labels.key/value (descontinuado) additional.fields
frame_backtrace	about.labels.key/value (descontinuado) additional.fields
module_backtrace	about.labels.key/value (descontinuado) additional.fields
dependências	about.labels.key/value (descontinuado) additional.fields
name	target.process.command_line
os_version	target.platform_version
kernel_version	about.labels.key/value (descontinuado) additional.fields
system_model	target.asset.hardware.model
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
last_loaded	about.labels.key/value (descontinuado) additional.fields
last_unloaded	about.labels.key/value (descontinuado) additional.fields

keychain_acls

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema keychain_acls e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
keychain_path	about.labels.key/value (descontinuado) additional.fields
autorizações	about.labels.key/value (descontinuado) additional.fields
path	target.file.full_path
description	metadata.description
o rótulo.	about.labels.key/value (descontinuado) additional.fields

known_hosts

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema known_hosts e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
uid	target.user.userid
chave	about.labels.key/value (descontinuado) additional.fields
key_file	target.file.full_path

último

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
nome de usuário	target.user.user_display_name
tty	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
tipo	about.labels.key/value (descontinuado) additional.fields
type_name	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
host	target.hostname

listening_ports

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema listening_ports e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
pid	target.process.pid
porta	target.port
protocolo	network.ip_protocol
família	about.labels.key/value (descontinuado) additional.fields
address	target.ip
fd	about.labels.key/value (descontinuado) additional.fields
socket	about.labels.key/value (descontinuado) additional.fields
path	target.process.file.full_path
net_namespace	about.labels.key/value (descontinuado) additional.fields

logged_in_users

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema logged_in_users e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tipo	about.labels.key/value (descontinuado) additional.fields
usuário	target.user.userid
tty	about.labels.key/value (descontinuado) additional.fields
host	target.hostname
tempo	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
sid	about.labels.key/value (descontinuado) additional.fields
registry_hive	about.labels.key/value (descontinuado) additional.fields

logon_sessions

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema logon_sessions e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
logon_id	about.labels.key/value (descontinuado) additional.fields
usuário	target.user.user_display_name
logon_domain	about.labels.key/value (descontinuado) additional.fields
authentication_package	about.labels.key/value (descontinuado) additional.fields
logon_type	about.labels.key/value (descontinuado) additional.fields
session_id	network.session_id
logon_sid	about.labels.key/value (descontinuado) additional.fields
logon_time	about.labels.key/value (descontinuado) additional.fields
logon_server	about.labels.key/value (descontinuado) additional.fields
dns_domain_name	network.dns_domain
upn	about.labels.key/value (descontinuado) additional.fields
logon_script	about.labels.key/value (descontinuado) additional.fields
profile_path	target.file.full_path
home_directory	about.labels.key/value (descontinuado) additional.fields
home_directory_drive	about.labels.key/value (descontinuado) additional.fields

lxd_certificates

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema lxd_certificates e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	security_result.detection_fields.key/value
tipo	security_result.detection_fields.key/value
Impressão digital	security_result.detection_fields.key/value
certificado	security_result.detection_fields.key/value

lxd_networks

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema lxd_networks e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	about.labels.key/value (descontinuado) additional.fields
tipo	about.labels.key/value (descontinuado) additional.fields
managed	about.labels.key/value (descontinuado) additional.fields
ipv4_address	about.labels.key/value (descontinuado) additional.fields
ipv6_address	about.labels.key/value (descontinuado) additional.fields
used_by	about.labels.key/value (descontinuado) additional.fields
bytes_received	network.received_bytes
bytes_sent	network.sent_bytes
packets_received	about.labels.key/value (descontinuado) additional.fields
packets_sent	about.labels.key/value (descontinuado) additional.fields
hwaddr	about.labels.key/value (descontinuado) additional.fields
estado	about.labels.key/value (descontinuado) additional.fields
mtu	about.labels.key/value (descontinuado) additional.fields

managed_policies

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema managed_policies e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
domínio	target.administrative_domain
uuid	about.labels.key/value (descontinuado) additional.fields
name	about.labels.key/value (descontinuado) additional.fields
valor	about.labels.key/value (descontinuado) additional.fields
nome de usuário	target.user.user_display_name
manual	about.labels.key/value (descontinuado) additional.fields

memory_devices

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema memory_devices e o SO Linux, macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
handle	about.labels.key/value (descontinuado) additional.fields
array_handle	about.labels.key/value (descontinuado) additional.fields
form_factor	about.labels.key/value (descontinuado) additional.fields
total_width	about.labels.key/value (descontinuado) additional.fields
data_width	about.labels.key/value (descontinuado) additional.fields
tamanho	about.labels.key/value (descontinuado) additional.fields
set	about.labels.key/value (descontinuado) additional.fields
device_locator	about.labels.key/value (descontinuado) additional.fields
bank_locator	about.labels.key/value (descontinuado) additional.fields
memory_type	about.labels.key/value (descontinuado) additional.fields
memory_type_details	about.labels.key/value (descontinuado) additional.fields
max_speed	about.labels.key/value (descontinuado) additional.fields
configured_clock_speed	about.labels.key/value (descontinuado) additional.fields
fabricante	target.asset.hardware.manufacturer
serial_number	target.asset.hardware.serial_number
asset_tag	target.asset.asset_id
part_number	about.labels.key/value (descontinuado) additional.fields
min_voltage	about.labels.key/value (descontinuado) additional.fields
max_voltage	about.labels.key/value (descontinuado) additional.fields
configured_voltage	about.labels.key/value (descontinuado) additional.fields

ntdomains

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema ntdomains e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	about.labels.key/value (descontinuado) additional.fields
client_site_name	about.labels.key/value (descontinuado) additional.fields
dc_site_name	about.labels.key/value (descontinuado) additional.fields
dns_forest_name	network.dns.questions.name
domain_controller_address	target.ip
domain_controller_name	about.labels.key/value (descontinuado) additional.fields
domain_name	target.administrative_domain
status	about.labels.key/value (descontinuado) additional.fields

ntfs_acl_permissions

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema ntfs_acl_permissions e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
tipo	about.labels.key/value (descontinuado) additional.fields
participante	about.labels.key/value (descontinuado) additional.fields
acesso	about.labels.key/value (descontinuado) additional.fields
inherited_from	about.labels.key/value (descontinuado) additional.fields

os_version

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema os_version e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	about.labels.key/value (descontinuado) additional.fields
version	principal.platform_version
principal	about.labels.key/value (descontinuado) additional.fields
menor	about.labels.key/value (descontinuado) additional.fields
patch	principal.platform_patch_level
build	about.labels.key/value (descontinuado) additional.fields
plataforma	principal.platform
platform_like	about.labels.key/value (descontinuado) additional.fields
codinome	about.labels.key/value (descontinuado) additional.fields
arch	about.labels.key/value (descontinuado) additional.fields
install_date	about.labels.key/value (descontinuado) additional.fields
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields
mount_namespace_id	about.labels.key/value (descontinuado) additional.fields

osquery_events

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema osquery_events e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	target.resource.name
editor	about.label.key/value
tipo	about.label.key/value
assinaturas	about.label.key/value
ao vivo	about.label.key/value
atualiza	about.label.key/value
ativo	about.label.key/value

patches

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os patches do esquema e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
csname	target.hostname
hotfix_id	about.labels.key/value (descontinuado) additional.fields
caption	about.labels.key/value (descontinuado) additional.fields
description	metadata.description
fix_comments	about.labels.key/value (descontinuado) additional.fields
installed_by	about.labels.key/value (descontinuado) additional.fields
install_date	about.labels.key/value (descontinuado) additional.fields
installed_on	about.labels.key/value (descontinuado) additional.fields

pci_devices

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema pci_devices e o SO Linux, macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
pci_slot	principal.labels.key/value (descontinuado) additional.fields
pci_class	principal.labels.key/value (descontinuado) additional.fields
motorista	principal.labels.key/value (descontinuado) additional.fields
fornecedor	principal.labels.key/value (descontinuado) additional.fields
vendor_id	principal.labels.key/value (descontinuado) additional.fields
modelo	principal.asset.hardware.model
model_id	principal.labels.key/value (descontinuado) additional.fields
subsistema	principal.labels.key/value (descontinuado) additional.fields
express	principal.labels.key/value (descontinuado) additional.fields
Thunderbolt	principal.labels.key/value (descontinuado) additional.fields
removível	principal.labels.key/value (descontinuado) additional.fields
pci_class_id	principal.labels.key/value (descontinuado) additional.fields
pci_subclass_id	principal.labels.key/value (descontinuado) additional.fields
pci_subclass	principal.labels.key/value (descontinuado) additional.fields
subsystem_vendor_id	principal.labels.key/value (descontinuado) additional.fields
subsystem_vendor	principal.labels.key/value (descontinuado) additional.fields
subsystem_model_id	principal.labels.key/value (descontinuado) additional.fields
subsystem_model	principal.labels.key/value (descontinuado) additional.fields

tubos

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os pipes de esquema e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
pid	target.process.pid
name	target.resource.name
instâncias	about.labels.key/value (descontinuado) additional.fields
max_instances	about.labels.key/value (descontinuado) additional.fields
flags	about.labels.key/value (descontinuado) additional.fields

powershell_events

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema powershell_events e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tempo	metadata.collected_timestamp
datetime	about.labels.key/value (descontinuado) additional.fields
script_block_id	about.labels.key/value (descontinuado) additional.fields
script_block_count	about.labels.key/value (descontinuado) additional.fields
script_text	about.labels.key/value (descontinuado) additional.fields
script_name	about.labels.key/value (descontinuado) additional.fields
script_path	target.file.full_path
cosine_similarity	about.labels.key/value (descontinuado) additional.fields

process_envs

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema process_envs e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
pid	target.process.pid
chave	about.labels.key
valor	about.labels.value

process_events

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema process_events e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
version	target.platform_version
seq_num	about.labels.key/value (descontinuado) additional.fields
global_seq_num	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
path	target.file.full_path
primária	target.process.parent_process.pid
original_parent	about.labels.key/value (descontinuado) additional.fields
cmdline	target.process.command_line
cmdline_count	about.labels.key/value (descontinuado) additional.fields
env	about.labels.key/value (descontinuado) additional.fields
env_count	about.labels.key/value (descontinuado) additional.fields
cwd	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
euid	about.labels.key/value (descontinuado) additional.fields
gid	target.group.product_object_id
egid	about.labels.key/value (descontinuado) additional.fields
nome de usuário	target.user.user_display_name
signing_id	about.labels.key/value (descontinuado) additional.fields
team_id	about.labels.key/value (descontinuado) additional.fields
cdhash	about.labels.key/value (descontinuado) additional.fields
platform_binary	about.labels.key/value (descontinuado) additional.fields
exit_code	about.labels.key/value (descontinuado) additional.fields
child_pid	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
event_type	about.labels.key/value (descontinuado) additional.fields
eid	about.labels.key/value (descontinuado) additional.fields

process_file_events

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema process_file_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
operação	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
ppid	target.process.parent_process.pid
tempo	about.labels.key/value (descontinuado) additional.fields
executável	about.labels.key/value (descontinuado) additional.fields
parcial	about.labels.key/value (descontinuado) additional.fields
cwd	about.labels.key/value (descontinuado) additional.fields
path	target.file.full_path
dest_path	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
auid	about.labels.key/value (descontinuado) additional.fields
euid	about.labels.key/value (descontinuado) additional.fields
egid	about.labels.key/value (descontinuado) additional.fields
fsuid	about.labels.key/value (descontinuado) additional.fields
fsgid	about.labels.key/value (descontinuado) additional.fields
suid	about.labels.key/value (descontinuado) additional.fields
sgid	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

process_open_sockets

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema process_open_sockets e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
pid	principal.process.pid
fd	about.labels.key/value (descontinuado) additional.fields
socket	about.labels.key/value (descontinuado) additional.fields
família	about.labels.key/value (descontinuado) additional.fields
protocolo	about.labels.key/value (descontinuado) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
path	target.file.full_path
estado	about.labels.key/value (descontinuado) additional.fields
net_namespace	about.labels.key/value (descontinuado) additional.fields

processes

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os processos de esquema e o SO macOS, Linux, Windows e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
pid	target.process.pid
name	about.labels.key/value (descontinuado) additional.fields
path	target.process.file.full_path
cmdline	target.process.command_line
estado	target.process.attribute.labels.key/value
cwd	about.labels.key/value (descontinuado) additional.fields
root	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
euid	about.labels.key/value (descontinuado) additional.fields
egid	about.labels.key/value (descontinuado) additional.fields
suid	about.labels.key/value (descontinuado) additional.fields
sgid	about.labels.key/value (descontinuado) additional.fields
on_disk	about.labels.key/value (descontinuado) additional.fields
wired_size	about.labels.key/value (descontinuado) additional.fields
resident_size	about.labels.key/value (descontinuado) additional.fields
total_size	about.labels.key/value (descontinuado) additional.fields
user_time	about.labels.key/value (descontinuado) additional.fields
system_time	about.labels.key/value (descontinuado) additional.fields
disk_bytes_read	about.labels.key/value (descontinuado) additional.fields
disk_bytes_written	about.labels.key/value (descontinuado) additional.fields
start_time	about.labels.key/value (descontinuado) additional.fields
primária	target.process.parent_process.pid
pgroup	about.labels.key/value (descontinuado) additional.fields
threads	about.labels.key/value (descontinuado) additional.fields
legal	about.labels.key/value (descontinuado) additional.fields
elevated_token	about.labels.key/value (descontinuado) additional.fields
secure_process	about.labels.key/value (descontinuado) additional.fields
protection_type	about.labels.key/value (descontinuado) additional.fields
virtual_process	about.labels.key/value (descontinuado) additional.fields
elapsed_time	about.labels.key/value (descontinuado) additional.fields
handle_count	about.labels.key/value (descontinuado) additional.fields
percent_processor_time	about.labels.key/value (descontinuado) additional.fields
upid	about.labels.key/value (descontinuado) additional.fields
uppid	about.labels.key/value (descontinuado) additional.fields
cpu_type	about.labels.key/value (descontinuado) additional.fields
cpu_subtype	about.labels.key/value (descontinuado) additional.fields

programas

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para os programas de esquema e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	target.resource.name
version	target.platform_version
install_location	about.labels.key/value (descontinuado) additional.fields
install_source	about.labels.key/value (descontinuado) additional.fields
idioma	about.labels.key/value (descontinuado) additional.fields
editor	about.labels.key/value (descontinuado) additional.fields
uninstall_string	target.file.full_path
install_date	about.labels.key/value (descontinuado) additional.fields
identifying_number	about.labels.key/value (descontinuado) additional.fields

scheduled_tasks

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema "scheduled_tasks" e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	target.resource.name
ação	security_result.action_details
path	target.file.full_path
ativado	about.labels.key/value (descontinuado) additional.fields
estado	about.labels.key/value (descontinuado) additional.fields
escondida	about.labels.key/value (descontinuado) additional.fields
last_run_time	about.labels.key/value (descontinuado) additional.fields
next_run_time	about.labels.key/value (descontinuado) additional.fields
last_run_message	about.labels.key/value (descontinuado) additional.fields
last_run_code	about.labels.key/value (descontinuado) additional.fields

seccomp_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema seccomp_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tempo	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
auid	about.labels.key/value (descontinuado) additional.fields
uid	target.user.userid
gid	target.group.product_object_id
ses	about.labels.key/value (descontinuado) additional.fields
pid	target.process.pid
comm	about.labels.key/value (descontinuado) additional.fields
exe	target.file.full_path
sig	about.labels.key/value (descontinuado) additional.fields
arch	about.labels.key/value (descontinuado) additional.fields
syscall	about.labels.key/value (descontinuado) additional.fields
compat	about.labels.key/value (descontinuado) additional.fields
ip	about.labels.key/value (descontinuado) additional.fields
código	about.labels.key/value (descontinuado) additional.fields

seLinux_events

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema seLinux_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tipo	about.labels.key/value (descontinuado) additional.fields
mensagem	metadata.description
tempo	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

shadow

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para a sombra do esquema e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
password_status	about.labels.key/value (descontinuado) additional.fields
hash_alg	about.labels.key/value (descontinuado) additional.fields
last_change	about.labels.key/value (descontinuado) additional.fields
min	about.labels.key/value (descontinuado) additional.fields
max	about.labels.key/value (descontinuado) additional.fields
aviso	about.labels.key/value (descontinuado) additional.fields
inativo	about.labels.key/value (descontinuado) additional.fields
expire	about.labels.key/value (descontinuado) additional.fields
flag	about.labels.key/value (descontinuado) additional.fields
nome de usuário	principal.user.user_display_name

shell_history

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema shell_history e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
uid	principal.user.userid
tempo	about.labels.key/value (descontinuado) additional.fields
comando	principal.process.command_line
history_file	principal.process.file.full_path

shimcache

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o shimcache do esquema e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
entry	about.labels.key/value (descontinuado) additional.fields
path	target.file.full_path
modified_time	target.file.last_modification_time
execution_flag	about.labels.key/value (descontinuado) additional.fields

signature

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para a assinatura do esquema e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
hash_resources	about.labels.key/value (descontinuado) additional.fields
arch	about.labels.key/value (descontinuado) additional.fields
item assinado	target.file.pe_file.signature_info.verified
identificador	target.file.pe_file.signature_info.signer
cdhash	about.labels.key/value (descontinuado) additional.fields
team_identifier	about.labels.key/value (descontinuado) additional.fields
autoridade	about.labels.key/value (descontinuado) additional.fields

sip_config

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema sip_config e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
config_flag	about.labels.key/value (descontinuado) additional.fields
ativado	about.labels.key/value (descontinuado) additional.fields
enabled_nvram	about.labels.key/value (descontinuado) additional.fields

socket_events

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema socket_events e o SO Linux, macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
ação	security_result.action_details
pid	target.process.pid
path	target.process.file.full_path
fd	about.labels.key/value (descontinuado) additional.fields
auid	target.user.userid
status	about.labels.key/value (descontinuado) additional.fields
família	about.labels.key/value (descontinuado) additional.fields
protocolo	about.labels.key/value (descontinuado) additional.fields
local_address	principal.ip
remote_address	target.ip
local_port	principal.port
remote_port	target.port
socket	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id
sucesso	about.labels.key/value (descontinuado) additional.fields

sudoers

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema sudoers e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
source	about.labels.key/value (descontinuado) additional.fields
cabeçalho	about.labels.key/value (descontinuado) additional.fields
rule_details	about.labels.key/value (descontinuado) additional.fields

syslog_events

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema syslog_events e o SO Linux:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tempo	about.labels.key/value (descontinuado) additional.fields
datetime	about.labels.key/value (descontinuado) additional.fields
host	target.hostname
gravidade,	security_result.severity (tipo enumerado)
instalação	about.labels.key/value (descontinuado) additional.fields
tag	about.labels.key/value (descontinuado) additional.fields
mensagem	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

system_info

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema system_info e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
nome do host	principal.administrative_domain
uuid	about.labels.key/value (descontinuado) additional.fields
cpu_type	about.labels.key/value (descontinuado) additional.fields
cpu_subtype	about.labels.key/value (descontinuado) additional.fields
cpu_brand	about.labels.key/value (descontinuado) additional.fields
cpu_physical_cores	about.labels.key/value (descontinuado) additional.fields
cpu_logical_cores	principal.asset.hardware.cpu_number_cores
cpu_microcode	about.labels.key/value (descontinuado) additional.fields
physical_memory	about.labels.key/value (descontinuado) additional.fields
hardware_vendor	about.labels.key/value (descontinuado) additional.fields
hardware_model	principal.asset.hardware.model
hardware_version	about.labels.key/value (descontinuado) additional.fields
hardware_serial	principal.asset.hardware.serial_number
board_vendor	about.labels.key/value (descontinuado) additional.fields
board_model	about.labels.key/value (descontinuado) additional.fields
board_version	about.labels.key/value (descontinuado) additional.fields
board_serial	about.labels.key/value (descontinuado) additional.fields
computer_name	about.labels.key/value (descontinuado) additional.fields
local_hostname	about.labels.key/value (descontinuado) additional.fields

tpm_info

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema tpm_info e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
ativado	about.labels.key/value (descontinuado) additional.fields
ativado	about.labels.key/value (descontinuado) additional.fields
em poucos segundos em uma infraestrutura	about.labels.key/value (descontinuado) additional.fields
manufacturer_version	about.labels.key/value (descontinuado) additional.fields
manufacturer_id	about.labels.key/value (descontinuado) additional.fields
manufacturer_name	principal.aseet.hardware.manufacturer
product_name	principal.resource.name
physical_presence_version	about.labels.key/value (descontinuado) additional.fields
spec_version	about.labels.key/value (descontinuado) additional.fields

usb_devices

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema usb_devices e o SO Linux, macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
usb_address	about.labels.key/value (descontinuado) additional.fields
usb_port	about.labels.key/value (descontinuado) additional.fields
fornecedor	about.labels.key/value (descontinuado) additional.fields
vendor_id	about.labels.key/value (descontinuado) additional.fields
version	about.labels.key/value (descontinuado) additional.fields
modelo	target.asset.hardware.model
model_id	about.labels.key/value (descontinuado) additional.fields
serial	target.asset.hardware.serial_number
classe	about.labels.key/value (descontinuado) additional.fields
subclasse	about.labels.key/value (descontinuado) additional.fields
protocolo	about.labels.key/value (descontinuado) additional.fields
removível	about.labels.key/value (descontinuado) additional.fields

user_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema user_events e o SO Linux, macOS e FreeBSD:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
uid	principal.user.userid
auid	principal.user.attribute.labels.key/value
pid	target.process.pid
mensagem	metadata.description
tipo	about.labels.key/value (descontinuado) additional.fields
path	target.file.full_path
address	about.labels.key/value (descontinuado) additional.fields
terminal	about.labels.key/value (descontinuado) additional.fields
tempo	metadata.collected_timestamp
tempo de atividade	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

user_groups

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema user_groups e o SO Linux, macOS e Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
uid	principal.user.userid
gid	principal.group.product_object_id

usuários

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para os usuários do esquema e o SO macOS, Linux, Windows, freebsd:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
uid	principal.user.userid
gid	principal.user.group_identifiers(repeated)
uid_signed	about.labels.key/value (descontinuado) additional.fields
gid_signed	about.labels.key/value (descontinuado) additional.fields
nome de usuário	principal.user.user_display_name
description	about.labels.key/value (descontinuado) additional.fields
diretório	about.labels.key/value (descontinuado) additional.fields
shell	about.labels.key/value (descontinuado) additional.fields
uuid	principal.user.product_object_id
tipo	about.labels.key/value (descontinuado) additional.fields
is_hidden	about.labels.key/value (descontinuado) additional.fields
pid_with_namespace	about.labels.key/value (descontinuado) additional.fields

wifi_networks

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema wifi_networks e o SO macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
ssid	target.labels.key/value (descontinuado) additional.fields
network_name	target.labels.key/value (descontinuado) additional.fields
security_type	target.labels.key/value (descontinuado) additional.fields
last_connected	about.labels.key/value (descontinuado) additional.fields
ponto de acesso	about.labels.key/value (descontinuado) additional.fields
possibly_hidden	about.labels.key/value (descontinuado) additional.fields
roaming	about.labels.key/value (descontinuado) additional.fields
roaming_profile	about.labels.key/value (descontinuado) additional.fields
captive_portal	about.labels.key/value (descontinuado) additional.fields
auto_login	target.labels.key/value (descontinuado) additional.fields
temporarily_disabled	target.labels.key/value (descontinuado) additional.fields
desativado	target.labels.key/value (descontinuado) additional.fields

windows_crashes

A tabela a seguir lista os campos de registro e os mapeamentos UDM correspondentes para o esquema Windows_crashes e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
datetime	about.labels.key/value (descontinuado) additional.fields
module	about.labels.key/value (descontinuado) additional.fields
path	target.process.file.full_path
pid	target.process.pid
tid	about.labels.key/value (descontinuado) additional.fields
version	about.labels.key/value (descontinuado) additional.fields
process_uptime	about.labels.key/value (descontinuado) additional.fields
stack_trace	about.labels.key/value (descontinuado) additional.fields
exception_code	about.labels.key/value (descontinuado) additional.fields
exception_message	about.labels.key/value (descontinuado) additional.fields
exception_address	about.labels.key/value (descontinuado) additional.fields
registros	about.labels.key/value (descontinuado) additional.fields
command_line	target.process.command_line
current_directory	about.labels.key/value (descontinuado) additional.fields
nome de usuário	target.user.user_display_name
machine_name	about.labels.key/value (descontinuado) additional.fields
major_version	about.labels.key/value (descontinuado) additional.fields
minor_version	about.labels.key/value (descontinuado) additional.fields
build_number	target.platform_version
tipo	about.labels.key/value (descontinuado) additional.fields
crash_path	about.labels.key/value (descontinuado) additional.fields

windows_eventlog

O analisador de eventos do Windows (WINEVTLOG) mapeia esses eventos. Consulte Coletar dados de eventos do Microsoft Windows para mais informações."

windows_events

O analisador de eventos do Windows (WINEVTLOG) mapeia esses eventos. Consulte Coletar dados de eventos do Microsoft Windows para mais informações.

windows_firewall_rules

A tabela a seguir lista os campos de registro e os mapeamentos do UDM correspondentes para o esquema Windows_firewall_rules e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
name	about.labels.key/value (descontinuado) additional.fields
app_name	target.application
ação	security_result.action (enum)
ativado	about.labels.key/value (descontinuado) additional.fields
agrupamento	about.labels.key/value (descontinuado) additional.fields
direção	network.direction
protocolo	network.ip_protocol
local_addresses	principal.ip
remote_addresses	target.ip
local_ports	principal.port
remote_ports	target.port
icmp_types_codes	about.labels.key/value (descontinuado) additional.fields
profile_domain	about.labels.key/value (descontinuado) additional.fields
profile_private	about.labels.key/value (descontinuado) additional.fields
profile_public	about.labels.key/value (descontinuado) additional.fields
service_name	about.labels.key/value (descontinuado) additional.fields

windows_security_center

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Windows_security_center e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
firewall	security_result.detection_fields.key/value
autoupdate	security_result.detection_fields.key/value
antivírus	security_result.detection_fields.key/value
antispyware	security_result.detection_fields.key/value
internet_settings	security_result.detection_fields.key/value
Windows_security_center_service	security_result.detection_fields.key/value
user_account_control	security_result.detection_fields.key/value

windows_security_products

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema Windows_security_products e o SO Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
tipo	about.labels.key/value (descontinuado) additional.fields
name	target.resource.name
estado	about.labels.key/value (descontinuado) additional.fields
state_timestamp	about.labels.key/value (descontinuado) additional.fields
remediation_path	about.labels.key/value (descontinuado) additional.fields
signatures_up_to_date	about.labels.key/value (descontinuado) additional.fields

wmi_bios_info

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema wmi_bios_info e o SO Windows:

Campo de registro

Mapeamento de UDM

metadata.event_type é mapeado para SETTING_MODIFICATION

name

about.labels.key/value (descontinuado)

additional.fields

valor

about.labels.key/value (descontinuado)

additional.fields

yara

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema yara e o SO Linux, macOS, FreeBSD e Windows:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
path	target.file.full_path
correspondências	about.labels.key/value (descontinuado) additional.fields
contagem	about.labels.key/value (descontinuado) additional.fields
sig_group	security_result.detection_fields.key/value
sigfile	security_result.detection_fields.key/value
sigrule	security_result.detection_fields.key/value
strings	about.labels.key/value (descontinuado) additional.fields
tags	about.labels.key/value (descontinuado) additional.fields
sigurl	security_result.detection_fields.key/value

yara_events

A tabela a seguir lista os campos de registro e os mapeamentos de UDM correspondentes para o esquema yara_events e o SO Linux, macOS:

Campo de registro	Mapeamento de UDM
	metadata.event_type é mapeado para SETTING_MODIFICATION
target_path	target.file.full_path
categoria	about.labels.key/value (descontinuado) additional.fields
ação	security_result.action_details
transaction_id	security_result.detection_fields.key/value
correspondências	about.labels.key/value (descontinuado) additional.fields
contagem	about.labels.key/value (descontinuado) additional.fields
strings	about.labels.key/value (descontinuado) additional.fields
tags	about.labels.key/value (descontinuado) additional.fields
tempo	about.labels.key/value (descontinuado) additional.fields
eid	metadata.product_log_id

A seguir

Ingestão de dados no Google Security Operations