Mengumpulkan log osquery
Dokumen ini menjelaskan cara mengumpulkan log osquery dengan mengonfigurasi osquery dan forwarder Google Security Operations. Dokumen ini juga mencantumkan jenis log yang didukung dan versi osquery yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara agen osquery dan server Fleet dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
Sistem Linux: Sistem Linux yang akan dipantau tempat agen osquery diinstal
Sistem Microsoft Windows: Sistem Microsoft Windows yang akan dipantau tempat agen osquery diinstal
Sistem Mac: Sistem Mac yang akan dipantau tempat agen osquery diinstal
Agen osquery: Mengumpulkan informasi dari sistem Microsoft Windows, Linux, atau Mac dan meneruskan informasi tersebut ke server Fleet
Server fleet: Memantau dan menerima informasi dari agen osquery, menganalisis log, dan meneruskan log ke penerusan Google Security Operations
Pengirim Google Security Operations: Komponen software ringan, yang di-deploy di jaringan pelanggan untuk meneruskan log ke Google Security Operations
Google Security Operations: Menyimpan dan menganalisis log dari server Fleet
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer OSQUERY_EDR.
Sebelum memulai
Instal server Fleet. Untuk menginstal server Fleet, lakukan hal berikut:
Gunakan versi osquery yang didukung parser Google Security Operations, yaitu 5.2.3 dan 5.3.0.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi di zona waktu UTC.
Pastikan nama tabel di Fleet sesuai dengan dokumentasi Fleet resmi.
Mengonfigurasi agen, server, dan penerusan Google Security Operations osquery
Untuk mengonfigurasi server Fleet dan penerusan Google Security Operations, lakukan hal berikut:
Untuk mengonfigurasi server Fleet, lakukan hal berikut:
Menambahkan host ke server Fleet dan menginstal agen osquery. Anda dapat menambahkan host ke server Fleet dengan penginstal osquery. Server fleet membantu membuat penginstal osquery dengan perintah paket fleetctl.
- Jalankan perintah paket fleetctl dengan menginstal alat command line fleetctl.
- Instal agen osquery dengan menggunakan perintah paket fleetctl.
Saat Anda menginstal penginstal osquery yang dihasilkan di host, host akan otomatis terdaftar di instance Fleet yang ditentukan.
Mengambil log dari agen osquery. Untuk membuat kueri di Fleet guna mengambil log, lihat Membuat kueri dan untuk menjadwalkan kueri, lihat Menjadwalkan kueri.
Konfigurasikan forwarder Google Security Operations di perangkat Linux pusat untuk mengirim log ke sistem Google Security Operations. Untuk informasi selengkapnya, buka Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi forwarder Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser Google Security Operations memetakan kolom log osquery ke kolom Unified Data Model (UDM) Google Security Operations untuk skema dan sistem operasi. Untuk informasi selengkapnya, lihat skema osquery untuk versi 5.2.3 dan versi 5.3.0.
account_policy_data
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema account_policy_data dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ad_config dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| domain | target.administrative_domain |
| opsi | about.labels.key (tidak digunakan lagi) additional.fields.key |
| value | about.labels.value (tidak digunakan lagi) additional.fields.value.string_value |
alf
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk alf skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| firewall_unload | about.labels.key/value (tidak digunakan lagi) additional.fields |
| global_state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logging_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logging_option | about.labels.key/value (tidak digunakan lagi) additional.fields |
| stealth_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | target.platform_version |
alf_exceptions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema alf_exceptions dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
alf_explicit_auths
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema alf_explicit_auths dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| mundur | target.process.pid |
app_schemes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema app_schemes dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| skema | about.labels.key/value (tidak digunakan lagi) additional.fields |
| handler | about.labels.key/value (tidak digunakan lagi) additional.fields |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eksternal | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dilindungi | about.labels.key/value (tidak digunakan lagi) additional.fields |
apparmor_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema apparmor_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pesan | metadata.description |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| operasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent | target.process.parent_process.pid |
| profil | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (tidak digunakan lagi) additional.fields |
| capname | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| kemampuan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value (tidak digunakan lagi) additional.fields |
| error | security_result.summary |
| namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| label | about.labels.key/value (tidak digunakan lagi) additional.fields |
apparmor_profiles
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema apparmor_profiles dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| nama | target.resource.name |
| pasang | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sha1 | target.file.sha1 |
aplikasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk aplikasi skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | target.application |
| jalur | target.file.full_path |
| bundle_executable | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| lingkungan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| elemen | about.labels.key/value (tidak digunakan lagi) additional.fields |
| compiler | about.labels.key/value (tidak digunakan lagi) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| info_string | about.labels.key/value (tidak digunakan lagi) additional.fields |
| minimum_system_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kategori | about.labels.key/value (tidak digunakan lagi) additional.fields |
| applescript_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hak cipta | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema asl dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| time_nano_sec | about.labels.key/value (tidak digunakan lagi) additional.fields |
| host | target.hostname |
| pengirim | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fasilitas | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pesan | metadata.description |
| ref_pid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ref_proc | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tambahan | about.labels.key/value (tidak digunakan lagi) additional.fields |
authenticode
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk authenticode skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| original_program_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| hasil | security_result.summary |
authorization_mechanisms
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema authorization_mechanisms dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| label | about.labels.key/value (tidak digunakan lagi) additional.fields |
| plugin | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mekanisme | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hak istimewa | about.labels.key/value (tidak digunakan lagi) additional.fields |
| entri | about.labels.key/value (tidak digunakan lagi) additional.fields |
otorisasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk otorisasi skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| label | about.labels.key/value (tidak digunakan lagi) additional.fields |
| diubah | about.labels.key/value (tidak digunakan lagi) additional.fields |
| allow_root | about.labels.key/value (tidak digunakan lagi) additional.fields |
| timeout | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| percobaan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| authenticate_user | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bersama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| komentar | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dibuat | about.labels.key/value (tidak digunakan lagi) additional.fields |
| class | about.labels.key/value (tidak digunakan lagi) additional.fields |
| session_owner | about.labels.key/value (tidak digunakan lagi) additional.fields |
autoexec
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk autoexec skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| nama | target.application |
| sumber | target.resource.name |
bitlocker_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema bitlocker_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| versi | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema bpf_process_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| tid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| parent | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exit_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| probe_error | about.labels.key/value (tidak digunakan lagi) additional.fields |
| syscall | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.process.file.full_path |
| cwd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cmdline | target.process.command_line |
| durasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| json_cmdline | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ntime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema bpf_socket_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| tid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | principal.process.pid |
| parent | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exit_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| probe_error | about.labels.key/value (tidak digunakan lagi) additional.fields |
| syscall | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.file.full_path |
| fd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| keluarga | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protokol | about.labels.key/value (tidak digunakan lagi) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| durasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ntime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
sertifikat
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk sertifikat skema dan OS macOS, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| common_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value (tidak digunakan lagi) additional.fields |
| self_signed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| key_algorithm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| key_strength | about.labels.key/value (tidak digunakan lagi) additional.fields |
| key_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subject_key_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| authority_key_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| jalur | about.labels.key/value (tidak digunakan lagi) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| store_location | about.labels.key/value (tidak digunakan lagi) additional.fields |
| toko | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | principal.user.user_display_name |
| store_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
chassis_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema chassis_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| alarm_audible | about.labels.key/value (tidak digunakan lagi) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (tidak digunakan lagi) additional.fields |
| deskripsi | metadata.description |
| lock | about.labels.key/value (tidak digunakan lagi) additional.fields |
| produsen | principal.asset.hardware.manufacturer |
| model | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sku | about.labels.key/value (tidak digunakan lagi) additional.fields |
| status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| visible_alarm | about.labels.key/value (tidak digunakan lagi) additional.fields |
chrome_extensions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema chrome_extensions dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| nama | target.resource.name |
| profil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| ID | target.resource.attribute.labels.key/value |
| versi | target.resource.attribute.labels.key/value |
| deskripsi | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| author | target.resource.attribute.labels.key/value |
| persisten | target.resource.attribute.labels.key/value |
| jalur | target.file.full_path |
| izin | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| dirujuk | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| kunci | target.resource.attribute.labels.key/value |
konektivitas
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk konektivitas skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| sambungan terputus | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv4_no_traffic | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_no_traffic | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv4_subnet | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv4_local_network | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv4_internet | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_subnet | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_local_network | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_internet | about.labels.key/value (tidak digunakan lagi) additional.fields |
cpu_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema cpu_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| model | principal.asset.hardware.model |
| produsen | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| availability | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jumlah_core | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (tidak digunakan lagi) additional.fields |
| address_width | about.labels.key/value (tidak digunakan lagi) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (tidak digunakan lagi) additional.fields |
error
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk error skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| jalur | target.process.file.full_path |
| crash_path | target.file.full_path |
| ID | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent | target.process.parent_process.pid |
| bertanggung jawab | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (tidak digunakan lagi) additional.fields |
| stack_trace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exception_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exception_codes | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exception_notes | about.labels.key/value (tidak digunakan lagi) additional.fields |
| register | about.labels.key/value (tidak digunakan lagi) additional.fields |
crontab
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk crontab skema dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| event | about.labels.key/value (tidak digunakan lagi) additional.fields |
| menit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jam | about.labels.key/value (tidak digunakan lagi) additional.fields |
| day_of_month | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bulan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| day_of_week | about.labels.key/value (tidak digunakan lagi) additional.fields |
| perintah | principal.process.command_line |
| jalur | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
curl
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema curl dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| url | network.http.referral_url |
| metode | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| byte | network.received_bytes |
| hasil | about.labels.key/value (tidak digunakan lagi) additional.fields |
curl_certificate
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema curl_certificate dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| hostname | principal.hostname |
| common_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| organisasi | network.organization_name |
| unit_organisasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| versi | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subject_key_identifier | about.labels.key/value (tidak digunakan lagi) additional.fields |
| authority_key_identifier | about.labels.key/value (tidak digunakan lagi) additional.fields |
| key_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| extended_key_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kebijakan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subject_alternative_names | about.labels.key/value (tidak digunakan lagi) additional.fields |
| issuer_alternative_names | about.labels.key/value (tidak digunakan lagi) additional.fields |
| info_access | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subject_info_access | about.labels.key/value (tidak digunakan lagi) additional.fields |
| policy_mappings | about.labels.key/value (tidak digunakan lagi) additional.fields |
| has_expired | about.labels.key/value (tidak digunakan lagi) additional.fields |
| basic_constraint | about.labels.key/value (tidak digunakan lagi) additional.fields |
| name_constraints | about.labels.key/value (tidak digunakan lagi) additional.fields |
| policy_constraints | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dump_certificate | about.labels.key/value (tidak digunakan lagi) additional.fields |
| timeout | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pem | about.labels.key/value (tidak digunakan lagi) additional.fields |
device_file
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema device_file dan OS Linux, macOS, freebsd, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device | about.labels.key/value (tidak digunakan lagi) additional.fields |
| partisi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.file.full_path |
| filename | target.file.names |
| inode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ukuran | target.file.size |
| block_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| atime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hard_links | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
device_hash
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema device_hash dan OS Linux, macOS, freebsd, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device | target.file.full_path |
| partisi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| inode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema disk_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| partisi | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| jenis | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| produsen | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| nama | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| deskripsi | principal.asset.attribute.labels.key/value |
dns_cache
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema dns_cache dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | network.dns.additional.name |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
dns_resolvers
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema dns_resolvers dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| alamat | principal.ip |
| netmask | about.labels.key/value (tidak digunakan lagi) additional.fields |
| opsi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
docker_container_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_networks dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| nama | network.carrier_name |
| network_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| endpoint_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| gateway | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_gateway | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mac_address | target.mac |
docker_container_ports
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_ports dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| jenis | network.ip_protocol |
| port | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_processes dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| nama | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| resident_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| total_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| start_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent | target.process.parent_process.pid |
| pgroup | about.labels.key/value (tidak digunakan lagi) additional.fields |
| threads | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bagus | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | target.user.user_display_name |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mem | about.labels.key/value (tidak digunakan lagi) additional.fields |
docker_container_stats
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_stats dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| nama | target.resource.name |
| pid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| read | about.labels.key/value (tidak digunakan lagi) additional.fields |
| prabaca | about.labels.key/value (tidak digunakan lagi) additional.fields |
| interval | about.labels.key/value (tidak digunakan lagi) additional.fields |
| disk_read | about.labels.key/value (tidak digunakan lagi) additional.fields |
| disk_write | about.labels.key/value (tidak digunakan lagi) additional.fields |
| num_procs | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_total_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_usermode_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| system_cpu_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| online_cpus | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pre_online_cpus | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory_max_usage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| network_rx_bytes | about.labels.key/value (tidak digunakan lagi) additional.fields |
| network_tx_bytes | about.labels.key/value (tidak digunakan lagi) additional.fields |
docker_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_info dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| container | about.labels.key/value (tidak digunakan lagi) additional.fields |
| containers_running | about.labels.key/value (tidak digunakan lagi) additional.fields |
| containers_paused | about.labels.key/value (tidak digunakan lagi) additional.fields |
| containers_stopped | about.labels.key/value (tidak digunakan lagi) additional.fields |
| gambar | about.labels.key/value (tidak digunakan lagi) additional.fields |
| storage_driver | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| swap_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kernel_memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_cfs_period | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_cfs_quota | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_shares | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_set | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv4_forwarding | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bridge_nf_iptables | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (tidak digunakan lagi) additional.fields |
| oom_kill_disable | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logging_driver | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cgroup_driver | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kernel_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| os | about.labels.key/value (tidak digunakan lagi) additional.fields |
| os_type | target.platform(enum) |
| berbasis cloud | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| http_proxy | about.labels.key/value (tidak digunakan lagi) additional.fields |
| https_proxy | about.labels.key/value (tidak digunakan lagi) additional.fields |
| no_proxy | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_network_labels dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| kunci | target.resource.attribute.labels.key/value |
| value | about.labels.key/value (tidak digunakan lagi) additional.fields |
docker_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_networks dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| driver | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dibuat | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subnet | about.labels.key/value (tidak digunakan lagi) additional.fields |
| gateway | about.labels.key/value (tidak digunakan lagi) additional.fields |
ec2_instance_metadata
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ec2_instance_metadata dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| berbasis cloud | about.labels.key/value (tidak digunakan lagi) additional.fields |
| region | target.location.country_or_region |
| availability_zone | about.labels.key/value (tidak digunakan lagi) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (tidak digunakan lagi) additional.fields |
| iam_arn | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ami_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| reservation_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| id_akun | target.user.userid |
| ssh_public_key | about.labels.key/value (tidak digunakan lagi) additional.fields |
es_process_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema es_process_events dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| versi | target.platform_version |
| seq_num | about.labels.key/value (tidak digunakan lagi) additional.fields |
| global_seq_num | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| jalur | target.process.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| env | about.labels.key/value (tidak digunakan lagi) additional.fields |
| env_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cwd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | target.user.user_display_name |
| signing_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| team_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cdhash | about.labels.key/value (tidak digunakan lagi) additional.fields |
| platform_binary | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exit_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| child_pid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| event_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema etc_hosts dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| alamat | target.ip |
| nama host | about.hostname |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
etc_protocols
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema etc_protocols dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | network.ip_protocol |
| angka | about.labels.key/value (tidak digunakan lagi) additional.fields |
| alias | about.labels.key/value (tidak digunakan lagi) additional.fields |
| komentar | about.labels.key/value (tidak digunakan lagi) additional.fields |
etc_services
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema etc_services dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | target.resource.name |
| port | target.port |
| protokol | network.ip_protocol |
| alias | about.labels.key/value (tidak digunakan lagi) additional.fields |
| komentar | about.labels.key/value (tidak digunakan lagi) additional.fields |
file
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk file skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| endpoint | about.labels.key/value (tidak digunakan lagi) additional.fields |
| filename | target.file.names |
| inode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| device | target.asset.asset_id |
| ukuran | target.file.size |
| block_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| btime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hard_links | about.labels.key/value (tidak digunakan lagi) additional.fields |
| symlink | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| atribut | about.labels.key/value (tidak digunakan lagi) additional.fields |
| volume_serial | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| product_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bsd_flags | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mount_namespace_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
file_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema file_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| operasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dapat dieksekusi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| partial | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cwd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| euid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| egid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fsuid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fsgid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| suid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sgid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
gatekeeper
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk gatekeeper skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dev_id_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | target.asset.software.version |
| opaque_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
gatekeeper_approved_apps
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema gatekeeper_approved_apps dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| persyaratan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ctime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mtime | target.resource.attribute.last_update_time |
grup
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk grup skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| komentar | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema hardware_events dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| action | security_result.action_details |
| jalur | target.asset.attribute.labels.key/value |
| jenis | target.asset.attribute.labels.key/value |
| driver | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| model | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| revisi | target.asset.attribute.labels.key/value |
| waktu | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk hash skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| endpoint | about.labels.key/value (tidak digunakan lagi) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mount_namespace_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
interface_addresses
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema interface_addresses dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| antarmuka | about.labels.key/value (tidak digunakan lagi) additional.fields |
| alamat | target.ip |
| masker | about.labels.key/value (tidak digunakan lagi) additional.fields |
| siarkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| point_to_point | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| friendly_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
interface_details
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema interface_details dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| antarmuka | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mac | target.mac |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mtu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| metrik | about.labels.key/value (tidak digunakan lagi) additional.fields |
| flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipackets | about.labels.key/value (tidak digunakan lagi) additional.fields |
| opackets | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ibytes | network.sent_bytes |
| obyte | network.received_bytes |
| ierrors | about.labels.key/value (tidak digunakan lagi) additional.fields |
| oerrors | about.labels.key/value (tidak digunakan lagi) additional.fields |
| idrops | about.labels.key/value (tidak digunakan lagi) additional.fields |
| odrops | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tabrakan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_change | about.labels.key/value (tidak digunakan lagi) additional.fields |
| link_speed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pci_slot | about.labels.key/value (tidak digunakan lagi) additional.fields |
| friendly_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| deskripsi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| produsen | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| connection_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| physical_adapter | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kecepatan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pelanggan | target.application |
| dhcp_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dns_host_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dns_server_search_order | about.labels.key/value (tidak digunakan lagi) additional.fields |
interface_ipv6
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema interface_ipv6 dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| antarmuka | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hop_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| forwarding_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| redirect_accept | about.labels.key/value (tidak digunakan lagi) additional.fields |
| rtadv_accept | about.labels.key/value (tidak digunakan lagi) additional.fields |
iptables
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema iptables dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| filter_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| rantai | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kebijakan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| target | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protokol | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (tidak digunakan lagi) additional.fields |
| iniface | about.labels.key/value (tidak digunakan lagi) additional.fields |
| iniface_mask | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (tidak digunakan lagi) additional.fields |
| outiface | about.labels.key/value (tidak digunakan lagi) additional.fields |
| outiface_mask | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kecocokan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| paket | about.labels.key/value (tidak digunakan lagi) additional.fields |
| byte | network.received_bytes |
kernel_panics
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema kernel_panics dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| register | about.labels.key/value (tidak digunakan lagi) additional.fields |
| frame_backtrace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| module_backtrace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dependensi berurutan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| system_model | target.asset.hardware.model |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_loaded | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_unloaded | about.labels.key/value (tidak digunakan lagi) additional.fields |
keychain_acls
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema keychain_acls dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
| otorisasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.file.full_path |
| deskripsi | metadata.description |
| label | about.labels.key/value (tidak digunakan lagi) additional.fields |
known_hosts
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema known_hosts dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | target.user.userid |
| kunci | about.labels.key/value (tidak digunakan lagi) additional.fields |
| key_file | target.file.full_path |
terakhir
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema terakhir dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama pengguna | target.user.user_display_name |
| tty | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| type_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| host | target.hostname |
listening_ports
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema listening_ports dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| port | target.port |
| protokol | network.ip_protocol |
| keluarga | about.labels.key/value (tidak digunakan lagi) additional.fields |
| alamat | target.ip |
| fd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| socket | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.process.file.full_path |
| net_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
logged_in_users
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema logged_in_users dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | target.user.userid |
| tty | about.labels.key/value (tidak digunakan lagi) additional.fields |
| host | target.hostname |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| registry_hive | about.labels.key/value (tidak digunakan lagi) additional.fields |
logon_sessions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk logon_sessions skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| logon_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | target.user.user_display_name |
| logon_domain | about.labels.key/value (tidak digunakan lagi) additional.fields |
| authentication_package | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logon_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logon_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logon_server | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logon_script | about.labels.key/value (tidak digunakan lagi) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| home_directory_drive | about.labels.key/value (tidak digunakan lagi) additional.fields |
lxd_certificates
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema lxd_certificates dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | security_result.detection_fields.key/value |
| jenis | security_result.detection_fields.key/value |
| sidik jari | security_result.detection_fields.key/value |
| sertifikat | security_result.detection_fields.key/value |
lxd_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema lxd_networks dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| terkelola | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv4_address | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ipv6_address | about.labels.key/value (tidak digunakan lagi) additional.fields |
| used_by | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (tidak digunakan lagi) additional.fields |
| packets_sent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hwaddr | about.labels.key/value (tidak digunakan lagi) additional.fields |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mtu | about.labels.key/value (tidak digunakan lagi) additional.fields |
managed_policies
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema managed_policies dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| domain | target.administrative_domain |
| uuid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| value | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | target.user.user_display_name |
| manual | about.labels.key/value (tidak digunakan lagi) additional.fields |
memory_devices
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema memory_devices dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| handle | about.labels.key/value (tidak digunakan lagi) additional.fields |
| array_handle | about.labels.key/value (tidak digunakan lagi) additional.fields |
| form_factor | about.labels.key/value (tidak digunakan lagi) additional.fields |
| total_width | about.labels.key/value (tidak digunakan lagi) additional.fields |
| data_width | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ukuran | about.labels.key/value (tidak digunakan lagi) additional.fields |
| set | about.labels.key/value (tidak digunakan lagi) additional.fields |
| device_locator | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bank_locator | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| memory_type_details | about.labels.key/value (tidak digunakan lagi) additional.fields |
| max_speed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| configured_clock_speed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| produsen | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (tidak digunakan lagi) additional.fields |
| min_voltage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| max_voltage | about.labels.key/value (tidak digunakan lagi) additional.fields |
| configured_voltage | about.labels.key/value (tidak digunakan lagi) additional.fields |
ntdomains
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ntdomains dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| client_site_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dc_site_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| domain_name | target.administrative_domain |
| status | about.labels.key/value (tidak digunakan lagi) additional.fields |
ntfs_acl_permissions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ntfs_acl_permissions dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| utama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| akses | about.labels.key/value (tidak digunakan lagi) additional.fields |
| inherited_from | about.labels.key/value (tidak digunakan lagi) additional.fields |
os_version
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema os_version dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | principal.platform_version |
| utama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| minor | about.labels.key/value (tidak digunakan lagi) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value (tidak digunakan lagi) additional.fields |
| platform | principal.platform |
| platform_like | about.labels.key/value (tidak digunakan lagi) additional.fields |
| namakode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| arch | about.labels.key/value (tidak digunakan lagi) additional.fields |
| install_date | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mount_namespace_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
osquery_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema osquery_events dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | target.resource.name |
| penayang | about.label.key/value |
| jenis | about.label.key/value |
| langganan | about.label.key/value |
| acara | about.label.key/value |
| memuat ulang | about.label.key/value |
| aktif | about.label.key/value |
patch
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk patch skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| teks | about.labels.key/value (tidak digunakan lagi) additional.fields |
| deskripsi | metadata.description |
| fix_comments | about.labels.key/value (tidak digunakan lagi) additional.fields |
| installed_by | about.labels.key/value (tidak digunakan lagi) additional.fields |
| install_date | about.labels.key/value (tidak digunakan lagi) additional.fields |
| installed_on | about.labels.key/value (tidak digunakan lagi) additional.fields |
pci_devices
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema pci_devices dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| pci_class | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| driver | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_id | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| model | principal.asset.hardware.model |
| model_id | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| subsistem | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| express | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| thunderbolt | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| dapat dilepas | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| pci_class_id | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| pci_subclass_id | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| pci_subclass | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| subsystem_vendor | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| subsystem_model_id | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| subsystem_model | principal.labels.key/value (tidak digunakan lagi) additional.fields |
pipa
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk pipa skema dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| nama | target.resource.name |
| instance | about.labels.key/value (tidak digunakan lagi) additional.fields |
| max_instances | about.labels.key/value (tidak digunakan lagi) additional.fields |
| flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
powershell_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema powershell_events dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | metadata.collected_timestamp |
| datetime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| script_block_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| script_block_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| script_text | about.labels.key/value (tidak digunakan lagi) additional.fields |
| script_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (tidak digunakan lagi) additional.fields |
process_envs
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_envs dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| kunci | about.labels.key |
| value | about.labels.value |
process_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_events dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| versi | target.platform_version |
| seq_num | about.labels.key/value (tidak digunakan lagi) additional.fields |
| global_seq_num | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| jalur | target.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| env | about.labels.key/value (tidak digunakan lagi) additional.fields |
| env_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cwd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | target.user.user_display_name |
| signing_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| team_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cdhash | about.labels.key/value (tidak digunakan lagi) additional.fields |
| platform_binary | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exit_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| child_pid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| event_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | about.labels.key/value (tidak digunakan lagi) additional.fields |
process_file_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_file_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| operasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dapat dieksekusi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| partial | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cwd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.file.full_path |
| dest_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| euid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| egid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fsuid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fsgid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| suid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sgid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_open_sockets dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| socket | about.labels.key/value (tidak digunakan lagi) additional.fields |
| keluarga | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protokol | about.labels.key/value (tidak digunakan lagi) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| jalur | target.file.full_path |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| net_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
proses
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk proses skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| root | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| egid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| suid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sgid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| on_disk | about.labels.key/value (tidak digunakan lagi) additional.fields |
| wired_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| resident_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| total_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| system_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| disk_bytes_read | about.labels.key/value (tidak digunakan lagi) additional.fields |
| disk_bytes_written | about.labels.key/value (tidak digunakan lagi) additional.fields |
| start_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent | target.process.parent_process.pid |
| pgroup | about.labels.key/value (tidak digunakan lagi) additional.fields |
| threads | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bagus | about.labels.key/value (tidak digunakan lagi) additional.fields |
| elevated_token | about.labels.key/value (tidak digunakan lagi) additional.fields |
| secure_process | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protection_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| virtual_process | about.labels.key/value (tidak digunakan lagi) additional.fields |
| elapsed_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| handle_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| percent_processor_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| upid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uppid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_subtype | about.labels.key/value (tidak digunakan lagi) additional.fields |
program
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk program skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | target.resource.name |
| versi | target.platform_version |
| install_location | about.labels.key/value (tidak digunakan lagi) additional.fields |
| install_source | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bahasa | about.labels.key/value (tidak digunakan lagi) additional.fields |
| penayang | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (tidak digunakan lagi) additional.fields |
| identifying_number | about.labels.key/value (tidak digunakan lagi) additional.fields |
scheduled_tasks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema scheduled_tasks dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | target.resource.name |
| action | security_result.action_details |
| jalur | target.file.full_path |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hidden | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_run_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| next_run_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_run_message | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_run_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
seccomp_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema seccomp_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| auid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (tidak digunakan lagi) additional.fields |
| arch | about.labels.key/value (tidak digunakan lagi) additional.fields |
| syscall | about.labels.key/value (tidak digunakan lagi) additional.fields |
| compat | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ip | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kode | about.labels.key/value (tidak digunakan lagi) additional.fields |
seLinux_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema seLinux_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pesan | metadata.description |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
bayangan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk bayangan skema dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| password_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hash_alg | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_change | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mnt | about.labels.key/value (tidak digunakan lagi) additional.fields |
| maks | about.labels.key/value (tidak digunakan lagi) additional.fields |
| peringatan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tidak aktif | about.labels.key/value (tidak digunakan lagi) additional.fields |
| expire | about.labels.key/value (tidak digunakan lagi) additional.fields |
| flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | principal.user.user_display_name |
shell_history
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema shell_history dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| perintah | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk shimcache skema dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| entri | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
tanda tangan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk tanda tangan skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| hash_resources | about.labels.key/value (tidak digunakan lagi) additional.fields |
| arch | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ditandatangani | target.file.pe_file.signature_info.verified |
| ID | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (tidak digunakan lagi) additional.fields |
| team_identifier | about.labels.key/value (tidak digunakan lagi) additional.fields |
| otoritas | about.labels.key/value (tidak digunakan lagi) additional.fields |
sip_config
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema sip_config dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| enabled_nvram | about.labels.key/value (tidak digunakan lagi) additional.fields |
socket_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema socket_events dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| action | security_result.action_details |
| pid | target.process.pid |
| jalur | target.process.file.full_path |
| fd | about.labels.key/value (tidak digunakan lagi) additional.fields |
| auid | target.user.userid |
| status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| keluarga | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protokol | about.labels.key/value (tidak digunakan lagi) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
| berhasil | about.labels.key/value (tidak digunakan lagi) additional.fields |
sudoers
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema sudoers dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| sumber | about.labels.key/value (tidak digunakan lagi) additional.fields |
| header | about.labels.key/value (tidak digunakan lagi) additional.fields |
| rule_details | about.labels.key/value (tidak digunakan lagi) additional.fields |
syslog_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema syslog_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| datetime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| host | target.hostname |
| tingkat keseriusan, | security_result.severity (enum) |
| fasilitas | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pesan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
system_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema system_info dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| hostname | principal.administrative_domain |
| uuid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_subtype | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_brand | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_physical_cores | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| physical_memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hardware_vendor | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (tidak digunakan lagi) additional.fields |
| board_model | about.labels.key/value (tidak digunakan lagi) additional.fields |
| board_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| board_serial | about.labels.key/value (tidak digunakan lagi) additional.fields |
| computer_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| local_hostname | about.labels.key/value (tidak digunakan lagi) additional.fields |
tpm_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema tpm_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dimiliki | about.labels.key/value (tidak digunakan lagi) additional.fields |
| manufacturer_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| manufacturer_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| spec_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
usb_devices
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema usb_devices dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (tidak digunakan lagi) additional.fields |
| usb_port | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| model | target.asset.hardware.model |
| model_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| serial | target.asset.hardware.serial_number |
| class | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subclass | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protokol | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dapat dilepas | about.labels.key/value (tidak digunakan lagi) additional.fields |
user_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema user_events dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| pesan | metadata.description |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.file.full_path |
| alamat | about.labels.key/value (tidak digunakan lagi) additional.fields |
| terminal | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | metadata.collected_timestamp |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
user_groups
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema user_groups dan OS Linux, macOS, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
pengguna
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk pengguna skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| gid_signed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | principal.user.user_display_name |
| deskripsi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| endpoint | about.labels.key/value (tidak digunakan lagi) additional.fields |
| shell | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uuid | principal.user.product_object_id |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| is_hidden | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pid_with_namespace | about.labels.key/value (tidak digunakan lagi) additional.fields |
wifi_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema wifi_networks dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| ssid | target.labels.key/value (tidak digunakan lagi) additional.fields |
| network_name | target.labels.key/value (tidak digunakan lagi) additional.fields |
| security_type | target.labels.key/value (tidak digunakan lagi) additional.fields |
| last_connected | about.labels.key/value (tidak digunakan lagi) additional.fields |
| passpoint | about.labels.key/value (tidak digunakan lagi) additional.fields |
| possibly_hidden | about.labels.key/value (tidak digunakan lagi) additional.fields |
| roaming | about.labels.key/value (tidak digunakan lagi) additional.fields |
| roaming_profile | about.labels.key/value (tidak digunakan lagi) additional.fields |
| captive_portal | about.labels.key/value (tidak digunakan lagi) additional.fields |
| auto_login | target.labels.key/value (tidak digunakan lagi) additional.fields |
| temporarily_disabled | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dinonaktifkan | target.labels.key/value (tidak digunakan lagi) additional.fields |
windows_crashes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_crashes dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| datetime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| modul | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jalur | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| process_uptime | about.labels.key/value (tidak digunakan lagi) additional.fields |
| stack_trace | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exception_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exception_message | about.labels.key/value (tidak digunakan lagi) additional.fields |
| exception_address | about.labels.key/value (tidak digunakan lagi) additional.fields |
| register | about.labels.key/value (tidak digunakan lagi) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama pengguna | target.user.user_display_name |
| machine_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| major_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| minor_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| build_number | target.platform_version |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| crash_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
windows_eventlog
Parser Windows Event (WINEVTLOG) memetakan peristiwa ini. Lihat Mengumpulkan data Peristiwa Microsoft Windows untuk mengetahui informasi selengkapnya."
windows_events
Parser Windows Event (WINEVTLOG) memetakan peristiwa ini. Lihat Mengumpulkan data Peristiwa Microsoft Windows untuk mengetahui informasi selengkapnya.
windows_firewall_rules
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_firewall_rules dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| app_name | target.application |
| action | security_result.action (enum) |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengelompokan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| direction | network.direction |
| protokol | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (tidak digunakan lagi) additional.fields |
| profile_domain | about.labels.key/value (tidak digunakan lagi) additional.fields |
| profile_private | about.labels.key/value (tidak digunakan lagi) additional.fields |
| profile_public | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
windows_security_center
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_security_center dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_security_products dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama | target.resource.name |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| state_timestamp | about.labels.key/value (tidak digunakan lagi) additional.fields |
| remediation_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
| signatures_up_to_date | about.labels.key/value (tidak digunakan lagi) additional.fields |
wmi_bios_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema wmi_bios_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| value | about.labels.key/value (tidak digunakan lagi) additional.fields |
yara
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema yara dan OS Linux, macOS, freebsd, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| cocok | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jumlah | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| string | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tags | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema yara_events dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| kategori | about.labels.key/value (tidak digunakan lagi) additional.fields |
| action | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| cocok | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jumlah | about.labels.key/value (tidak digunakan lagi) additional.fields |
| string | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tags | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
| eid | metadata.product_log_id |
Langkah berikutnya
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.