OSquery-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie osquery-Logs erfassen, indem Sie osquery konfigurieren und Google Security Operations-Forwarder. In diesem Dokument werden auch die unterstützten Protokolltypen und die unterstützten osquery-Versionen aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Übersicht
Das folgende Diagramm zur Bereitstellungsarchitektur zeigt, wie osquery-Agents und Fleet-Server so konfiguriert werden, dass Protokolle an Google Security Operations gesendet werden. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Linux-System: Das zu überwachende Linux-System, auf dem der osquery-Agent installiert ist
Microsoft Windows-System: Das zu überwachende Microsoft Windows-System, auf dem der osquery-Agent installiert ist
Mac-System: Das zu überwachende Mac-System, auf dem der osquery-Agent installiert ist
osquery-Agent: Erfasst Informationen von Microsoft Windows, Linux oder Mac und leitet die Informationen an den Flottenserver
Flottenserver: überwacht den Flottenserver und empfängt Informationen vom osquery-Agents, analysiert die Protokolle und leitet sie an den Google Security Operations-Forwarder weiter
Google Security Operations-Weiterleitung: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Google Security Operations weiterzuleiten.
Google Security Operations: Hier werden die Logs vom Fleet-Server aufbewahrt und analysiert.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel OSQUERY_EDR.
Hinweise
Installieren Sie den Fleet-Server. So installieren Sie den Fleet-Server:
Verwenden Sie eine osquery-Version, die vom Google Security Operations-Parser unterstützt wird, also 5.2.3 und 5.3.0.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur konfiguriert sind in der Zeitzone UTC angegeben.
Achten Sie darauf, dass die Tabellennamen in „Flotte“ den offiziellen Flottendokumentationen entsprechen.
Osquery-Agent, -Server und Google Security Operations-Weiterleiter konfigurieren
So konfigurieren Sie den Fleet-Server und den Google Security Operations-Weiterleiter:
So konfigurieren Sie den Fleet-Server:
Fügen Sie dem Fleet-Server Hosts hinzu und installieren Sie den osquery-Agenten. Sie können Ihren Host mit einem osquery-Installationsprogramm zu Flottenserver hinzufügen. Der Fleet-Server hilft Ihnen, mit dem Paketbefehl „fleetctl“ ein Osquery-Installationsprogramm zu generieren.
- Führen Sie den Befehl „fleetctl package“ aus, indem Sie das Befehlszeilentool „fleetctl“ installieren.
- Installieren Sie den OSquery-Agent mit dem Befehl „Flottectl Package“.
Wenn Sie das generierte osquery-Installationsprogramm auf einem Host installieren, wird der Host automatisch bei der angegebenen Fleet-Instanz registriert.
Logs vom osquery-Agent abrufen Informationen zum Erstellen einer Abfrage zum Abrufen der Logs in der Flotte finden Sie unter Abfrage erstellen. Informationen zum Planen einer Abfrage finden Sie unter Abfrage planen.
Konfigurieren Sie den Google Security Operations-Weiterleiter auf einem zentralen Linux-Gerät, um die Protokolle an das Google Security Operations-System zu senden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration eines Google SecOps-Weiterleitungsservers:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Feldzuordnungsreferenz
In diesem Abschnitt wird beschrieben, wie der Google Security Operations-Parser osquery-Protokollfelder den UDM-Feldern (Unified Data Model) von Google Security Operations für das Schema und das Betriebssystem zuordnet. Weitere Informationen finden Sie im osquery-Schema für Version 5.2.3 und Version 5.3.0.
account_policy_data
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „account_policy_data“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „ad_config“ und „macOS“ für das Schema aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | about.labels.key/value (verworfen) additional.fields |
| Domain | target.administrative_domain |
| Option | about.labels.key (verworfen) additional.fields.key |
| Wert | about.labels.value (veraltet) additional.fields.value.string_value |
alf
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „alf“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| allow_signed_enabled | about.labels.key/value (veraltet) additional.fields |
| firewall_unload | about.labels.key/value (verworfen) additional.fields |
| global_state | about.labels.key/value (veraltet) additional.fields |
| logging_enabled | about.labels.key/value (veraltet) additional.fields |
| logging_option | about.labels.key/value (veraltet) additional.fields |
| stealth_enabled | about.labels.key/value (veraltet) additional.fields |
| Version | target.platform_version |
alf_exceptions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „alf_exceptions“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Status | about.labels.key/value (verworfen) additional.fields |
alf_explicit_auths
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „alf_explicit_auths“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| verarbeiten | target.process.pid |
app_schemes
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „app_schemes“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Schema | about.labels.key/value (veraltet) additional.fields |
| Handler | about.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (verworfen) additional.fields |
| extern | about.labels.key/value (verworfen) additional.fields |
| geschützt | about.labels.key/value (verworfen) additional.fields |
apparmor_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „apparmor_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Nachricht | metadata.description |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| Profil | about.labels.key/value (veraltet) additional.fields |
| name | about.labels.key/value (verworfen) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (verworfen) additional.fields |
| capname | about.labels.key/value (veraltet) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| Ouid | target.user.attribute.labels.key/value |
| capability | about.labels.key/value (verworfen) additional.fields |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value (veraltet) additional.fields |
| Fehler | security_result.summary |
| Namespace | about.labels.key/value (veraltet) additional.fields |
| Label | about.labels.key/value (veraltet) additional.fields |
apparmor_profiles
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „apparmor_profiles“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| name | target.resource.name |
| anhängen | about.labels.key/value (verworfen) additional.fields |
| Modus | about.labels.key/value (veraltet) additional.fields |
| sha1 | target.file.sha1 |
Apps
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schema-Apps und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | target.application |
| Pfad | target.file.full_path |
| bundle_executable | about.labels.key/value (veraltet) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (verworfen) additional.fields |
| Umgebung | about.labels.key/value (verworfen) additional.fields |
| Element | about.labels.key/value (verworfen) additional.fields |
| Compiler | about.labels.key/value (verworfen) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (veraltet) additional.fields |
| info_string | about.labels.key/value (verworfen) additional.fields |
| minimum_system_version | about.labels.key/value (verworfen) additional.fields |
| category | about.labels.key/value (veraltet) additional.fields |
| applescript_enabled | about.labels.key/value (verworfen) additional.fields |
| Urheberrecht | about.labels.key/value (verworfen) additional.fields |
| last_opened_time | target.file.last_seen_time |
ASL
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema asl und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| time_nano_sec | about.labels.key/value (veraltet) additional.fields |
| Host | target.hostname |
| sender | about.labels.key/value (veraltet) additional.fields |
| Einrichtung | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (verworfen) additional.fields |
| Nachricht | metadata.description |
| ref_pid | about.labels.key/value (verworfen) additional.fields |
| ref_proc | about.labels.key/value (verworfen) additional.fields |
| Extra | about.labels.key/value (veraltet) additional.fields |
Authentifizierung
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaauthentifizierung und das Windows-Betriebssystem aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| original_program_name | about.labels.key/value (veraltet) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| result | security_result.summary |
authorization_mechanisms
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „authorization_mechanisms“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Label | about.labels.key/value (veraltet) additional.fields |
| plugin | about.labels.key/value (veraltet) additional.fields |
| Mechanismus | about.labels.key/value (verworfen) additional.fields |
| privilegiert | about.labels.key/value (veraltet) additional.fields |
| Eintrag | about.labels.key/value (veraltet) additional.fields |
Autorisierungen
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaautorisierungen und macOS-Betriebssysteme aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Label | about.labels.key/value (veraltet) additional.fields |
| geändert | about.labels.key/value (verworfen) additional.fields |
| allow_root | about.labels.key/value (verworfen) additional.fields |
| Zeitüberschreitung | about.labels.key/value (verworfen) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| Versuche | about.labels.key/value (veraltet) additional.fields |
| authenticate_user | about.labels.key/value (veraltet) additional.fields |
| freigegeben | about.labels.key/value (veraltet) additional.fields |
| Kommentar | about.labels.key/value (veraltet) additional.fields |
| erstellt | about.labels.key/value (verworfen) additional.fields |
| Klasse | about.labels.key/value (veraltet) additional.fields |
| session_owner | about.labels.key/value (verworfen) additional.fields |
autoexec
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „autoexec“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| name | target.application |
| source | target.resource.name |
bitlocker_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema bitlocker_info und Windows OS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (verworfen) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| Version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „bpf_process_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| tid | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Übergeordnetes Element | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (veraltet) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| probe_error | about.labels.key/value (veraltet) additional.fields |
| Systemaufruf | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.process.file.full_path |
| cwd | about.labels.key/value (verworfen) additional.fields |
| cmdline | target.process.command_line |
| Dauer | about.labels.key/value (veraltet) additional.fields |
| json_cmdline | about.labels.key/value (verworfen) additional.fields |
| ntime | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „bpf_socket_events“ und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| tid | about.labels.key/value (veraltet) additional.fields |
| pid | principal.process.pid |
| Übergeordnetes Element | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (veraltet) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| probe_error | about.labels.key/value (veraltet) additional.fields |
| Systemaufruf | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| FD | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Dauer | about.labels.key/value (veraltet) additional.fields |
| ntime | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| eid | metadata.product_log_id |
Zertifikate
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schemazertifikate und die Betriebssysteme macOS und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| common_name | about.labels.key/value (verworfen) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| Zertifizierungsstelle | about.labels.key/value (veraltet) additional.fields |
| self_signed | about.labels.key/value (veraltet) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (verworfen) additional.fields |
| key_algorithm | about.labels.key/value (veraltet) additional.fields |
| key_strength | about.labels.key/value (veraltet) additional.fields |
| key_usage | about.labels.key/value (veraltet) additional.fields |
| subject_key_id | about.labels.key/value (verworfen) additional.fields |
| authority_key_id | about.labels.key/value (verworfen) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| Pfad | about.labels.key/value (veraltet) additional.fields |
| serial | network.tls.client.certificate.serial |
| SID | about.labels.key/value (veraltet) additional.fields |
| store_location | about.labels.key/value (veraltet) additional.fields |
| Speicher | about.labels.key/value (verworfen) additional.fields |
| Nutzername | principal.user.user_display_name |
| store_id | about.labels.key/value (verworfen) additional.fields |
chassis_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „chassis_info“ und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| audible_alarm | about.labels.key/value (verworfen) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (verworfen) additional.fields |
| description | metadata.description |
| schloss | about.labels.key/value (verworfen) additional.fields |
| Hersteller | principal.asset.hardware.manufacturer |
| Modell | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (veraltet) additional.fields |
| SKU | about.labels.key/value (verworfen) additional.fields |
| Status | about.labels.key/value (verworfen) additional.fields |
| visible_alarm | about.labels.key/value (verworfen) additional.fields |
chrome_extensions
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „chrome_extensions“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| Profil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identifier | target.resource.attribute.labels.key/value |
| Version | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| Autor | target.resource.attribute.labels.key/value |
| nichtflüchtige | target.resource.attribute.labels.key/value |
| Pfad | target.file.full_path |
| Berechtigungen | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenziert | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| Status | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| Schlüssel | target.resource.attribute.labels.key/value |
Verbindung
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schemaverbindung und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| nicht verbunden | about.labels.key/value (verworfen) additional.fields |
| ipv4_no_traffic | about.labels.key/value (verworfen) additional.fields |
| ipv6_no_traffic | about.labels.key/value (verworfen) additional.fields |
| ipv4_subnet | about.labels.key/value (veraltet) additional.fields |
| ipv4_local_network | about.labels.key/value (veraltet) additional.fields |
| ipv4_internet | about.labels.key/value (veraltet) additional.fields |
| ipv6_subnet | about.labels.key/value (verworfen) additional.fields |
| ipv6_local_network | about.labels.key/value (verworfen) additional.fields |
| ipv6_internet | about.labels.key/value (verworfen) additional.fields |
cpu_info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „cpu_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| device_id | principal.asset.product_object_id |
| Modell | principal.asset.hardware.model |
| Hersteller | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (veraltet) additional.fields |
| Verfügbarkeit | about.labels.key/value (veraltet) additional.fields |
| cpu_status | about.labels.key/value (verworfen) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (verworfen) additional.fields |
| address_width | about.labels.key/value (veraltet) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (veraltet) additional.fields |
Abstürze
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaabstürze und macOS-Betriebssysteme aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (verworfen) additional.fields |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| crash_path | target.file.full_path |
| identifier | about.labels.key/value (verworfen) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| verantwortlich | about.labels.key/value (verworfen) additional.fields |
| uid | target.user.userid |
| Datum/Uhrzeit | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (verworfen) additional.fields |
| stack_trace | about.labels.key/value (veraltet) additional.fields |
| exception_type | about.labels.key/value (veraltet) additional.fields |
| exception_codes | about.labels.key/value (verworfen) additional.fields |
| exception_notes | about.labels.key/value (verworfen) additional.fields |
| Register | about.labels.key/value (veraltet) additional.fields |
Crontab
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „crontab“ und für OS Linux, macOS und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| event | about.labels.key/value (veraltet) additional.fields |
| Minute | about.labels.key/value (veraltet) additional.fields |
| Stunde | about.labels.key/value (veraltet) additional.fields |
| day_of_month | about.labels.key/value (veraltet) additional.fields |
| Monat | about.labels.key/value (veraltet) additional.fields |
| day_of_week | about.labels.key/value (veraltet) additional.fields |
| Befehl | principal.process.command_line |
| Pfad | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
curl
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „curl“ und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| url | network.http.referral_url |
| Methode | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| Byte | network.received_bytes |
| result | about.labels.key/value (veraltet) additional.fields |
curl_certificate
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „curl_certificate“ und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| Hostname | principal.hostname |
| common_name | about.labels.key/value (verworfen) additional.fields |
| Organisation | network.organization_name |
| organization_unit | about.labels.key/value (verworfen) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (veraltet) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (veraltet) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| Version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | about.labels.key/value (veraltet) additional.fields |
| subject_key_identifier | about.labels.key/value (verworfen) additional.fields |
| authority_key_identifier | about.labels.key/value (verworfen) additional.fields |
| key_usage | about.labels.key/value (veraltet) additional.fields |
| extended_key_usage | about.labels.key/value (verworfen) additional.fields |
| policies | about.labels.key/value (verworfen) additional.fields |
| subject_alternative_names | about.labels.key/value (veraltet) additional.fields |
| issuer_alternative_names | about.labels.key/value (veraltet) additional.fields |
| info_access | about.labels.key/value (veraltet) additional.fields |
| subject_info_access | about.labels.key/value (veraltet) additional.fields |
| policy_mappings | about.labels.key/value (verworfen) additional.fields |
| has_expired | about.labels.key/value (verworfen) additional.fields |
| basic_constraint | about.labels.key/value (verworfen) additional.fields |
| name_constraints | about.labels.key/value (veraltet) additional.fields |
| policy_constraints | about.labels.key/value (veraltet) additional.fields |
| dump_certificate | about.labels.key/value (veraltet) additional.fields |
| Zeitüberschreitung | about.labels.key/value (verworfen) additional.fields |
| Pem | about.labels.key/value (verworfen) additional.fields |
device_file
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „device_file“ und das Betriebssystem Linux, macOS, Freebsd und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Gerät | about.labels.key/value (verworfen) additional.fields |
| Partition | about.labels.key/value (verworfen) additional.fields |
| Pfad | target.file.full_path |
| filename | target.file.names |
| Inode | about.labels.key/value (verworfen) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Modus | about.labels.key/value (veraltet) additional.fields |
| Größe | target.file.size |
| block_size | about.labels.key/value (veraltet) additional.fields |
| Atime | about.labels.key/value (verworfen) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (veraltet) additional.fields |
| hard_links | about.labels.key/value (verworfen) additional.fields |
| Typ | about.labels.key/value (verworfen) additional.fields |
device_hash
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „device_hash“ und unter OS Linux, macOS, Freebsd und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Gerät | target.file.full_path |
| Partition | about.labels.key/value (verworfen) additional.fields |
| Inode | about.labels.key/value (verworfen) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „disk_info“ und „OS Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| Partitionen | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| Typ | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (veraltet) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| Hersteller | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „dns_cache“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | network.dns.additional.name |
| Typ | about.labels.key/value (verworfen) additional.fields |
| flags | about.labels.key/value (verworfen) additional.fields |
dns_resolvers
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „dns_resolvers“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | about.labels.key/value (verworfen) additional.fields |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Adresse | principal.ip |
| Netzmaske | about.labels.key/value (verworfen) additional.fields |
| Options | about.labels.key/value (verworfen) additional.fields |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
docker_container_networks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_networks“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value (veraltet) additional.fields |
| Endpunkt-ID | about.labels.key/value (verworfen) additional.fields |
| Gateway | about.labels.key/value (verworfen) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (verworfen) additional.fields |
| ipv6_gateway | about.labels.key/value (verworfen) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (verworfen) additional.fields |
| mac_address | target.mac |
docker_container_ports
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_ports“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.asset.product_object_id |
| Typ | network.ip_protocol |
| Port | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_processes“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| Status | about.labels.key/value (verworfen) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (veraltet) additional.fields |
| resident_size | about.labels.key/value (veraltet) additional.fields |
| total_size | about.labels.key/value (verworfen) additional.fields |
| start_time | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| pgroup | about.labels.key/value (veraltet) additional.fields |
| Threads | about.labels.key/value (veraltet) additional.fields |
| nett | about.labels.key/value (verworfen) additional.fields |
| Nutzer | target.user.user_display_name |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| CPU | about.labels.key/value (veraltet) additional.fields |
| mem | about.labels.key/value (veraltet) additional.fields |
docker_container_stats
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_container_stats“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| PIDs | about.labels.key/value (verworfen) additional.fields |
| read | about.labels.key/value (veraltet) additional.fields |
| vorgelesen | about.labels.key/value (verworfen) additional.fields |
| interval | about.labels.key/value (veraltet) additional.fields |
| disk_read | about.labels.key/value (verworfen) additional.fields |
| disk_write | about.labels.key/value (verworfen) additional.fields |
| num_procs | about.labels.key/value (verworfen) additional.fields |
| cpu_total_usage | about.labels.key/value (veraltet) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (veraltet) additional.fields |
| cpu_usermode_usage | about.labels.key/value (verworfen) additional.fields |
| system_cpu_usage | about.labels.key/value (verworfen) additional.fields |
| online_cpus | about.labels.key/value (verworfen) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (veraltet) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (veraltet) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (veraltet) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (verworfen) additional.fields |
| pre_online_cpus | about.labels.key/value (verworfen) additional.fields |
| memory_usage | about.labels.key/value (verworfen) additional.fields |
| memory_max_usage | about.labels.key/value (veraltet) additional.fields |
| memory_limit | about.labels.key/value (veraltet) additional.fields |
| network_rx_bytes | about.labels.key/value (veraltet) additional.fields |
| network_tx_bytes | about.labels.key/value (veraltet) additional.fields |
docker_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_info“ und für OS Linux, macOS und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| Container | about.labels.key/value (veraltet) additional.fields |
| containers_running | about.labels.key/value (veraltet) additional.fields |
| containers_paused | about.labels.key/value (veraltet) additional.fields |
| containers_stopped | about.labels.key/value (veraltet) additional.fields |
| Bilder | about.labels.key/value (verworfen) additional.fields |
| storage_driver | about.labels.key/value (verworfen) additional.fields |
| memory_limit | about.labels.key/value (veraltet) additional.fields |
| swap_limit | about.labels.key/value (veraltet) additional.fields |
| kernel_memory | about.labels.key/value (veraltet) additional.fields |
| cpu_cfs_period | about.labels.key/value (verworfen) additional.fields |
| cpu_cfs_quota | about.labels.key/value (veraltet) additional.fields |
| cpu_shares | about.labels.key/value (verworfen) additional.fields |
| cpu_set | about.labels.key/value (verworfen) additional.fields |
| ipv4_forwarding | about.labels.key/value (verworfen) additional.fields |
| bridge_nf_iptables | about.labels.key/value (verworfen) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (verworfen) additional.fields |
| oom_kill_disable | about.labels.key/value (verworfen) additional.fields |
| logging_driver | about.labels.key/value (veraltet) additional.fields |
| cgroup_driver | about.labels.key/value (verworfen) additional.fields |
| kernel_version | about.labels.key/value (verworfen) additional.fields |
| os | about.labels.key/value (veraltet) additional.fields |
| os_type | target.platform(enum) |
| Architektur | about.labels.key/value (veraltet) additional.fields |
| CPUs | about.labels.key/value (veraltet) additional.fields |
| Arbeitsspeicher | about.labels.key/value (verworfen) additional.fields |
| http_proxy | about.labels.key/value (veraltet) additional.fields |
| https_proxy | about.labels.key/value (veraltet) additional.fields |
| no_proxy | about.labels.key/value (veraltet) additional.fields |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_network_labels“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| Schlüssel | target.resource.attribute.labels.key/value |
| Wert | about.labels.key/value (verworfen) additional.fields |
docker_networks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „docker_networks“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| id | target.resource.product_object_id |
| name | about.labels.key/value (verworfen) additional.fields |
| Fahrer | about.labels.key/value (veraltet) additional.fields |
| erstellt | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (veraltet) additional.fields |
| Subnetz | about.labels.key/value (veraltet) additional.fields |
| Gateway | about.labels.key/value (verworfen) additional.fields |
ec2_instance_metadata
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „ec2_instance_metadata“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (veraltet) additional.fields |
| Architektur | about.labels.key/value (veraltet) additional.fields |
| Region | target.location.country_or_region |
| availability_zone | about.labels.key/value (verworfen) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value (verworfen) additional.fields |
| iam_arn | about.labels.key/value (verworfen) additional.fields |
| ami_id | about.labels.key/value (veraltet) additional.fields |
| reservation_id | about.labels.key/value (veraltet) additional.fields |
| Die Konto-ID von Tinfoil Security | target.user.userid |
| ssh_public_key | about.labels.key/value (veraltet) additional.fields |
es_process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema es_process_events und macOS macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Version | target.platform_version |
| seq_num | about.labels.key/value (veraltet) additional.fields |
| global_seq_num | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| Übergeordnetes Element | target.process.parent_process.pid |
| original_parent | about.labels.key/value (verworfen) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (veraltet) additional.fields |
| env | about.labels.key/value (verworfen) additional.fields |
| env_count | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (verworfen) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (verworfen) additional.fields |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| signing_id | about.labels.key/value (verworfen) additional.fields |
| team_id | about.labels.key/value (veraltet) additional.fields |
| cdhash | about.labels.key/value (veraltet) additional.fields |
| platform_binary | about.labels.key/value (verworfen) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| child_pid | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| event_type | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema etc_hosts und unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Adresse | target.ip |
| Hostnamen | about.hostname |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
etc_protocols
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „etc_protocols“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | network.ip_protocol |
| Zahl | about.labels.key/value (veraltet) additional.fields |
| Alias | about.labels.key/value (veraltet) additional.fields |
| Kommentar | about.labels.key/value (veraltet) additional.fields |
etc_services
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „etc_services“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | target.resource.name |
| Port | target.port |
| Protokoll | network.ip_protocol |
| Aliasse | about.labels.key/value (veraltet) additional.fields |
| Kommentar | about.labels.key/value (veraltet) additional.fields |
Datei
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schemadatei und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Verzeichnis | about.labels.key/value (verworfen) additional.fields |
| filename | target.file.names |
| Inode | about.labels.key/value (verworfen) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Modus | about.labels.key/value (veraltet) additional.fields |
| Gerät | target.asset.asset_id |
| Größe | target.file.size |
| block_size | about.labels.key/value (veraltet) additional.fields |
| Atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (veraltet) additional.fields |
| Btime | about.labels.key/value (veraltet) additional.fields |
| hard_links | about.labels.key/value (verworfen) additional.fields |
| Symlink | about.labels.key/value (verworfen) additional.fields |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Attribute | about.labels.key/value (veraltet) additional.fields |
| volume_serial | about.labels.key/value (veraltet) additional.fields |
| file_id | about.labels.key/value (verworfen) additional.fields |
| file_version | about.labels.key/value (veraltet) additional.fields |
| product_version | about.labels.key/value (veraltet) additional.fields |
| bsd_flags | about.labels.key/value (veraltet) additional.fields |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
| mount_namespace_id | about.labels.key/value (verworfen) additional.fields |
file_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schema-Datei „event_events“ und „OS Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| Ausführbar | about.labels.key/value (veraltet) additional.fields |
| teilweise Maximierung | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (verworfen) additional.fields |
| Pfad | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| Auid | about.labels.key/value (veraltet) additional.fields |
| euid | about.labels.key/value (verworfen) additional.fields |
| egid | about.labels.key/value (veraltet) additional.fields |
| fsuid | about.labels.key/value (verworfen) additional.fields |
| fsgid | about.labels.key/value (verworfen) additional.fields |
| Suid | about.labels.key/value (verworfen) additional.fields |
| sgid | about.labels.key/value (verworfen) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
Gatekeeper
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Schema-Gatekeeper und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| assessments_enabled | about.labels.key/value (verworfen) additional.fields |
| dev_id_enabled | about.labels.key/value (veraltet) additional.fields |
| Version | target.asset.software.version |
| opaque_version | about.labels.key/value (verworfen) additional.fields |
gatekeeper_approved_apps
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „gatekeeper_approved_apps“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Anforderung | about.labels.key/value (veraltet) additional.fields |
| ctime | about.labels.key/value (veraltet) additional.fields |
| mtime | target.resource.attribute.last_update_time |
Gruppen
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schemagruppen und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| Kommentar | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „hardware_events“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Aktion | security_result.action_details |
| Pfad | target.asset.attribute.labels.key/value |
| Typ | target.asset.attribute.labels.key/value |
| Fahrer | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| Modell | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| Revision | target.asset.attribute.labels.key/value |
| Zeit | metadata.event_timestamp |
| eid | metadata.product_log_id |
Hash
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Schema-Hash und unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Verzeichnis | about.labels.key/value (verworfen) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
| mount_namespace_id | about.labels.key/value (verworfen) additional.fields |
interface_addresses
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „interface_addresses“ und unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| Adresse | target.ip |
| Maske | about.labels.key/value (verworfen) additional.fields |
| übertragen | about.labels.key/value (verworfen) additional.fields |
| point_to_point | about.labels.key/value (veraltet) additional.fields |
| Typ | about.labels.key/value (verworfen) additional.fields |
| friendly_name | about.labels.key/value (veraltet) additional.fields |
interface_details
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Interface_details“ und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| Mac | target.mac |
| Typ | about.labels.key/value (verworfen) additional.fields |
| mtu | about.labels.key/value (veraltet) additional.fields |
| Messwert | about.labels.key/value (verworfen) additional.fields |
| flags | about.labels.key/value (verworfen) additional.fields |
| Ipackets | about.labels.key/value (verworfen) additional.fields |
| opackets | about.labels.key/value (veraltet) additional.fields |
| Ibyte | network.sent_bytes |
| Obyte | network.received_bytes |
| ierrors | about.labels.key/value (verworfen) additional.fields |
| Fehler | about.labels.key/value (verworfen) additional.fields |
| idrops | about.labels.key/value (veraltet) additional.fields |
| Odrops | about.labels.key/value (veraltet) additional.fields |
| Kollisionen | about.labels.key/value (veraltet) additional.fields |
| last_change | about.labels.key/value (verworfen) additional.fields |
| link_speed | about.labels.key/value (verworfen) additional.fields |
| pci_slot | about.labels.key/value (verworfen) additional.fields |
| friendly_name | about.labels.key/value (veraltet) additional.fields |
| description | about.labels.key/value (veraltet) additional.fields |
| Hersteller | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (veraltet) additional.fields |
| connection_status | about.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (verworfen) additional.fields |
| physical_adapter | about.labels.key/value (verworfen) additional.fields |
| Geschwindigkeit | about.labels.key/value (verworfen) additional.fields |
| Dienst | target.application |
| dhcp_enabled | about.labels.key/value (veraltet) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (veraltet) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (verworfen) additional.fields |
| dns_host_name | about.labels.key/value (verworfen) additional.fields |
| dns_server_search_order | about.labels.key/value (verworfen) additional.fields |
interface_ipv6
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Interface_ipv6“ und unter OS Linux, macOS und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| hop_limit | about.labels.key/value (veraltet) additional.fields |
| forwarding_enabled | about.labels.key/value (veraltet) additional.fields |
| redirect_accept | about.labels.key/value (veraltet) additional.fields |
| rtadv_accept | about.labels.key/value (verworfen) additional.fields |
iptables
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema iptables und OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| filter_name | about.labels.key/value (verworfen) additional.fields |
| Kette | about.labels.key/value (veraltet) additional.fields |
| policy | about.labels.key/value (verworfen) additional.fields |
| target | about.labels.key/value (verworfen) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (veraltet) additional.fields |
| Iniface | about.labels.key/value (veraltet) additional.fields |
| iniface_mask | about.labels.key/value (veraltet) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (verworfen) additional.fields |
| Outiface | about.labels.key/value (veraltet) additional.fields |
| outiface_mask | about.labels.key/value (verworfen) additional.fields |
| Übereinstimmung | about.labels.key/value (veraltet) additional.fields |
| Pakete | about.labels.key/value (veraltet) additional.fields |
| Byte | network.received_bytes |
kernel_panics
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „kernel_panics“ und das Betriebssystem „macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| Register | about.labels.key/value (veraltet) additional.fields |
| frame_backtrace | about.labels.key/value (verworfen) additional.fields |
| module_backtrace | about.labels.key/value (verworfen) additional.fields |
| Abhängigkeiten | about.labels.key/value (veraltet) additional.fields |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (verworfen) additional.fields |
| system_model | target.asset.hardware.model |
| uptime | about.labels.key/value (veraltet) additional.fields |
| last_loaded | about.labels.key/value (veraltet) additional.fields |
| last_unloaded | about.labels.key/value (veraltet) additional.fields |
keychain_acls
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „keychain_acls“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| keychain_path | about.labels.key/value (veraltet) additional.fields |
| Autorisierungen | about.labels.key/value (verworfen) additional.fields |
| Pfad | target.file.full_path |
| description | metadata.description |
| Label | about.labels.key/value (veraltet) additional.fields |
known_hosts
In der folgenden Tabelle sind die Logfelder und entsprechenden UDM-Zuordnungen für das Schema „known_hosts“ und unter OS Linux, macOS und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | target.user.userid |
| Schlüssel | about.labels.key/value (verworfen) additional.fields |
| key_file | target.file.full_path |
letzten
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „last“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Nutzername | target.user.user_display_name |
| tty | about.labels.key/value (verworfen) additional.fields |
| pid | target.process.pid |
| Typ | about.labels.key/value (verworfen) additional.fields |
| type_name | about.labels.key/value (verworfen) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| Host | target.hostname |
listening_ports
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „listening_ports“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| Port | target.port |
| Protokoll | network.ip_protocol |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Adresse | target.ip |
| FD | about.labels.key/value (veraltet) additional.fields |
| Socket | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.process.file.full_path |
| net_namespace | about.labels.key/value (veraltet) additional.fields |
logged_in_users
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „logge_in_users“ und unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Nutzer | target.user.userid |
| tty | about.labels.key/value (verworfen) additional.fields |
| Host | target.hostname |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| pid | target.process.pid |
| SID | about.labels.key/value (veraltet) additional.fields |
| registry_hive | about.labels.key/value (verworfen) additional.fields |
logon_sessions
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „logon_sessions“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| logon_id | about.labels.key/value (verworfen) additional.fields |
| Nutzer | target.user.user_display_name |
| logon_domain | about.labels.key/value (verworfen) additional.fields |
| authentication_package | about.labels.key/value (veraltet) additional.fields |
| logon_type | about.labels.key/value (veraltet) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (verworfen) additional.fields |
| logon_time | about.labels.key/value (veraltet) additional.fields |
| logon_server | about.labels.key/value (verworfen) additional.fields |
| dns_domain_name | network.dns_domain |
| Upn | about.labels.key/value (veraltet) additional.fields |
| logon_script | about.labels.key/value (verworfen) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (verworfen) additional.fields |
| home_directory_drive | about.labels.key/value (veraltet) additional.fields |
lxd_certificates
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „lxd_certificates“ und unter Linux OS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | security_result.detection_fields.key/value |
| Typ | security_result.detection_fields.key/value |
| Fingerprint | security_result.detection_fields.key/value |
| Zertifikat | security_result.detection_fields.key/value |
lxd_networks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „lxd_networks“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | about.labels.key/value (verworfen) additional.fields |
| Typ | about.labels.key/value (verworfen) additional.fields |
| managed | about.labels.key/value (verworfen) additional.fields |
| ipv4_address | about.labels.key/value (verworfen) additional.fields |
| ipv6_address | about.labels.key/value (verworfen) additional.fields |
| used_by | about.labels.key/value (verworfen) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (verworfen) additional.fields |
| packets_sent | about.labels.key/value (veraltet) additional.fields |
| hwaddr | about.labels.key/value (verworfen) additional.fields |
| Status | about.labels.key/value (verworfen) additional.fields |
| mtu | about.labels.key/value (veraltet) additional.fields |
managed_policies
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „managed_policies“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Domain | target.administrative_domain |
| uuid | about.labels.key/value (veraltet) additional.fields |
| name | about.labels.key/value (verworfen) additional.fields |
| Wert | about.labels.key/value (verworfen) additional.fields |
| Nutzername | target.user.user_display_name |
| Manuell | about.labels.key/value (verworfen) additional.fields |
memory_devices
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „memory_devices“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Handle (der) | about.labels.key/value (verworfen) additional.fields |
| array_handle | about.labels.key/value (veraltet) additional.fields |
| form_factor | about.labels.key/value (veraltet) additional.fields |
| total_width | about.labels.key/value (verworfen) additional.fields |
| data_width | about.labels.key/value (veraltet) additional.fields |
| Größe | about.labels.key/value (veraltet) additional.fields |
| set | about.labels.key/value (verworfen) additional.fields |
| device_locator | about.labels.key/value (verworfen) additional.fields |
| bank_locator | about.labels.key/value (veraltet) additional.fields |
| memory_type | about.labels.key/value (veraltet) additional.fields |
| memory_type_details | about.labels.key/value (verworfen) additional.fields |
| max_speed | about.labels.key/value (veraltet) additional.fields |
| configured_clock_speed | about.labels.key/value (verworfen) additional.fields |
| Hersteller | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (verworfen) additional.fields |
| min_voltage | about.labels.key/value (verworfen) additional.fields |
| max_voltage | about.labels.key/value (veraltet) additional.fields |
| configured_voltage | about.labels.key/value (veraltet) additional.fields |
ntdomains
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema ntdomains und OS Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | about.labels.key/value (verworfen) additional.fields |
| client_site_name | about.labels.key/value (verworfen) additional.fields |
| dc_site_name | about.labels.key/value (verworfen) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (verworfen) additional.fields |
| domain_name | target.administrative_domain |
| Status | about.labels.key/value (verworfen) additional.fields |
ntfs_acl_permissions
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema ntfs_acl_permissions und Betriebssystemfenster aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Hauptkonto | about.labels.key/value (veraltet) additional.fields |
| Zugriff | about.labels.key/value (veraltet) additional.fields |
| inherited_from | about.labels.key/value (veraltet) additional.fields |
os_version
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „os_version“ und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | about.labels.key/value (verworfen) additional.fields |
| Version | principal.platform_version |
| Hauptfach | about.labels.key/value (veraltet) additional.fields |
| Minderjährig | about.labels.key/value (verworfen) additional.fields |
| patch | principal.platform_patch_level |
| Build | about.labels.key/value (verworfen) additional.fields |
| Plattform | principal.platform |
| platform_like | about.labels.key/value (verworfen) additional.fields |
| codename | about.labels.key/value (verworfen) additional.fields |
| arch | about.labels.key/value (veraltet) additional.fields |
| install_date | about.labels.key/value (verworfen) additional.fields |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
| mount_namespace_id | about.labels.key/value (verworfen) additional.fields |
osquery_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „osquery_events“ und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | target.resource.name |
| Publisher | about.label.key/value |
| Typ | about.label.key/value |
| Abos | about.label.key/value |
| Ereignisse | about.label.key/value |
| wird aktualisiert | about.label.key/value |
| Aktiv | about.label.key/value |
Patches
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schema-Patches und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value (verworfen) additional.fields |
| Untertitel | about.labels.key/value (verworfen) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (veraltet) additional.fields |
| installed_by | about.labels.key/value (verworfen) additional.fields |
| install_date | about.labels.key/value (verworfen) additional.fields |
| installed_on | about.labels.key/value (verworfen) additional.fields |
pci_devices
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „pci_devices“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| pci_slot | principal.labels.key/value (eingestellt) additional.fields |
| pci_class | principal.labels.key/value (verworfen) additional.fields |
| Fahrer | principal.labels.key/value (verworfen) additional.fields |
| vendor | principal.labels.key/value (eingestellt) additional.fields |
| vendor_id | principal.labels.key/value (verworfen) additional.fields |
| Modell | principal.asset.hardware.model |
| model_id | principal.labels.key/value (verworfen) additional.fields |
| Subsystem | principal.labels.key/value (verworfen) additional.fields |
| Express | principal.labels.key/value (verworfen) additional.fields |
| Thunderbolt | principal.labels.key/value (verworfen) additional.fields |
| abnehmbar | principal.labels.key/value (verworfen) additional.fields |
| pci_class_id | principal.labels.key/value (verworfen) additional.fields |
| pci_subclass_id | principal.labels.key/value (verworfen) additional.fields |
| pci_subclass | principal.labels.key/value (eingestellt) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (verworfen) additional.fields |
| subsystem_vendor | principal.labels.key/value (verworfen) additional.fields |
| subsystem_model_id | principal.labels.key/value (eingestellt) additional.fields |
| subsystem_model | principal.labels.key/value (eingestellt) additional.fields |
Rohre
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schema-Pipes und das Betriebssystem Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| name | target.resource.name |
| instances | about.labels.key/value (veraltet) additional.fields |
| max_instances | about.labels.key/value (verworfen) additional.fields |
| flags | about.labels.key/value (verworfen) additional.fields |
powershell_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „powershell_events“ und „OS Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Zeit | metadata.collected_timestamp |
| Datum/Uhrzeit | about.labels.key/value (veraltet) additional.fields |
| script_block_id | about.labels.key/value (verworfen) additional.fields |
| script_block_count | about.labels.key/value (verworfen) additional.fields |
| script_text | about.labels.key/value (veraltet) additional.fields |
| script_name | about.labels.key/value (verworfen) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (verworfen) additional.fields |
process_envs
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_envs“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| Schlüssel | about.labels.key |
| Wert | about.labels.value |
process_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_events“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Version | target.platform_version |
| seq_num | about.labels.key/value (veraltet) additional.fields |
| global_seq_num | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| Pfad | target.file.full_path |
| Übergeordnetes Element | target.process.parent_process.pid |
| original_parent | about.labels.key/value (verworfen) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (veraltet) additional.fields |
| env | about.labels.key/value (verworfen) additional.fields |
| env_count | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (verworfen) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (verworfen) additional.fields |
| gid | target.group.product_object_id |
| Egid | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| signing_id | about.labels.key/value (verworfen) additional.fields |
| team_id | about.labels.key/value (veraltet) additional.fields |
| cdhash | about.labels.key/value (veraltet) additional.fields |
| platform_binary | about.labels.key/value (verworfen) additional.fields |
| exit_code | about.labels.key/value (veraltet) additional.fields |
| child_pid | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| event_type | about.labels.key/value (veraltet) additional.fields |
| eid | about.labels.key/value (verworfen) additional.fields |
process_file_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema process_file_events und OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| Ausführbar | about.labels.key/value (veraltet) additional.fields |
| teilweise Maximierung | about.labels.key/value (veraltet) additional.fields |
| cwd | about.labels.key/value (verworfen) additional.fields |
| Pfad | target.file.full_path |
| dest_path | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Auid | about.labels.key/value (veraltet) additional.fields |
| euid | about.labels.key/value (verworfen) additional.fields |
| egid | about.labels.key/value (veraltet) additional.fields |
| fsuid | about.labels.key/value (verworfen) additional.fields |
| fsgid | about.labels.key/value (verworfen) additional.fields |
| Suid | about.labels.key/value (verworfen) additional.fields |
| sgid | about.labels.key/value (verworfen) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „process_open_sockets“ und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | principal.process.pid |
| fd | about.labels.key/value (veraltet) additional.fields |
| Socket | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Pfad | target.file.full_path |
| Status | about.labels.key/value (verworfen) additional.fields |
| net_namespace | about.labels.key/value (veraltet) additional.fields |
Verfahren
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaprozesse und unter macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| pid | target.process.pid |
| name | about.labels.key/value (verworfen) additional.fields |
| Pfad | target.process.file.full_path |
| cmdline | target.process.command_line |
| Status | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (verworfen) additional.fields |
| root | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (verworfen) additional.fields |
| egid | about.labels.key/value (veraltet) additional.fields |
| Suid | about.labels.key/value (verworfen) additional.fields |
| sgid | about.labels.key/value (verworfen) additional.fields |
| on_disk | about.labels.key/value (verworfen) additional.fields |
| wired_size | about.labels.key/value (veraltet) additional.fields |
| resident_size | about.labels.key/value (veraltet) additional.fields |
| total_size | about.labels.key/value (verworfen) additional.fields |
| user_time | about.labels.key/value (verworfen) additional.fields |
| system_time | about.labels.key/value (veraltet) additional.fields |
| disk_bytes_read | about.labels.key/value (verworfen) additional.fields |
| disk_bytes_written | about.labels.key/value (verworfen) additional.fields |
| start_time | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | target.process.parent_process.pid |
| pgroup | about.labels.key/value (veraltet) additional.fields |
| Threads | about.labels.key/value (veraltet) additional.fields |
| nett | about.labels.key/value (verworfen) additional.fields |
| elevated_token | about.labels.key/value (veraltet) additional.fields |
| secure_process | about.labels.key/value (verworfen) additional.fields |
| protection_type | about.labels.key/value (verworfen) additional.fields |
| virtual_process | about.labels.key/value (verworfen) additional.fields |
| elapsed_time | about.labels.key/value (verworfen) additional.fields |
| handle_count | about.labels.key/value (veraltet) additional.fields |
| percent_processor_time | about.labels.key/value (veraltet) additional.fields |
| upid | about.labels.key/value (verworfen) additional.fields |
| uppid | about.labels.key/value (veraltet) additional.fields |
| cpu_type | about.labels.key/value (verworfen) additional.fields |
| cpu_subtype | about.labels.key/value (verworfen) additional.fields |
Programme
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemaprogramme und Betriebssystemfenster aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | target.resource.name |
| Version | target.platform_version |
| install_location | about.labels.key/value (veraltet) additional.fields |
| install_source | about.labels.key/value (verworfen) additional.fields |
| Sprache | about.labels.key/value (veraltet) additional.fields |
| Publisher | about.labels.key/value (veraltet) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (verworfen) additional.fields |
| identifying_number | about.labels.key/value (verworfen) additional.fields |
scheduled_tasks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „scheduled_tasks“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | target.resource.name |
| Aktion | security_result.action_details |
| Pfad | target.file.full_path |
| aktiviert | about.labels.key/value (verworfen) additional.fields |
| Status | about.labels.key/value (verworfen) additional.fields |
| hidden | about.labels.key/value (veraltet) additional.fields |
| last_run_time | about.labels.key/value (verworfen) additional.fields |
| next_run_time | about.labels.key/value (veraltet) additional.fields |
| last_run_message | about.labels.key/value (veraltet) additional.fields |
| last_run_code | about.labels.key/value (verworfen) additional.fields |
seccomp_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „seccomp_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| auid | about.labels.key/value (veraltet) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value (verworfen) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value (veraltet) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (veraltet) additional.fields |
| arch | about.labels.key/value (veraltet) additional.fields |
| Systemaufruf | about.labels.key/value (veraltet) additional.fields |
| Compat | about.labels.key/value (veraltet) additional.fields |
| ip | about.labels.key/value (veraltet) additional.fields |
| Code | about.labels.key/value (verworfen) additional.fields |
seLinux_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema seLinux_events und OS Linux aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Nachricht | metadata.description |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
shadow
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Schemaschatten und unter Linux OS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| password_status | about.labels.key/value (verworfen) additional.fields |
| hash_alg | about.labels.key/value (verworfen) additional.fields |
| last_change | about.labels.key/value (verworfen) additional.fields |
| Min. | about.labels.key/value (verworfen) additional.fields |
| max | about.labels.key/value (verworfen) additional.fields |
| Warnung | about.labels.key/value (veraltet) additional.fields |
| Inaktiv | about.labels.key/value (veraltet) additional.fields |
| ablaufen | about.labels.key/value (veraltet) additional.fields |
| Flag | about.labels.key/value (verworfen) additional.fields |
| Nutzername | principal.user.user_display_name |
shell_history
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „shell_history“ und unter OS Linux, macOS und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| Befehl | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema-Shimcache und das Betriebssystem Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Eintrag | about.labels.key/value (veraltet) additional.fields |
| Pfad | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (veraltet) additional.fields |
Signatur
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Schemasignatur und macOS macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| hash_resources | about.labels.key/value (verworfen) additional.fields |
| arch | about.labels.key/value (veraltet) additional.fields |
| signiert | target.file.pe_file.signature_info.verified |
| identifier | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (veraltet) additional.fields |
| team_identifier | about.labels.key/value (veraltet) additional.fields |
| authority | about.labels.key/value (veraltet) additional.fields |
sip_config
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „sip_config“ und „OS macOS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| config_flag | about.labels.key/value (verworfen) additional.fields |
| aktiviert | about.labels.key/value (verworfen) additional.fields |
| enabled_nvram | about.labels.key/value (veraltet) additional.fields |
socket_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „socket_events“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Aktion | security_result.action_details |
| pid | target.process.pid |
| Pfad | target.process.file.full_path |
| FD | about.labels.key/value (veraltet) additional.fields |
| Auid | target.user.userid |
| Status | about.labels.key/value (verworfen) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| Socket | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
| Erfolgreich | about.labels.key/value (veraltet) additional.fields |
sudoers
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „sudoers“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| source | about.labels.key/value (veraltet) additional.fields |
| Header | about.labels.key/value (verworfen) additional.fields |
| rule_details | about.labels.key/value (veraltet) additional.fields |
syslog_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „syslog_events“ und das Betriebssystem „Linux“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| Datum/Uhrzeit | about.labels.key/value (veraltet) additional.fields |
| Host | target.hostname |
| die Ausprägung | security_result.severity (enum) |
| Einrichtung | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (verworfen) additional.fields |
| Nachricht | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
system_info
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „system_info“ und das Betriebssystem macOS, Linux, Windows und Freebsd aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| Hostname | principal.administrative_domain |
| uuid | about.labels.key/value (veraltet) additional.fields |
| cpu_type | about.labels.key/value (verworfen) additional.fields |
| cpu_subtype | about.labels.key/value (verworfen) additional.fields |
| cpu_brand | about.labels.key/value (veraltet) additional.fields |
| cpu_physical_cores | about.labels.key/value (verworfen) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (veraltet) additional.fields |
| physical_memory | about.labels.key/value (veraltet) additional.fields |
| hardware_vendor | about.labels.key/value (verworfen) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (veraltet) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (verworfen) additional.fields |
| board_model | about.labels.key/value (verworfen) additional.fields |
| board_version | about.labels.key/value (veraltet) additional.fields |
| board_serial | about.labels.key/value (veraltet) additional.fields |
| computer_name | about.labels.key/value (veraltet) additional.fields |
| local_hostname | about.labels.key/value (verworfen) additional.fields |
tpm_info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „tpm_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Aktiviert | about.labels.key/value (verworfen) additional.fields |
| aktiviert | about.labels.key/value (verworfen) additional.fields |
| owned | about.labels.key/value (veraltet) additional.fields |
| manufacturer_version | about.labels.key/value (verworfen) additional.fields |
| manufacturer_id | about.labels.key/value (verworfen) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (veraltet) additional.fields |
| spec_version | about.labels.key/value (verworfen) additional.fields |
usb_devices
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „usb_devices“ und für OS Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| usb_address | about.labels.key/value (veraltet) additional.fields |
| usb_port | about.labels.key/value (verworfen) additional.fields |
| vendor | about.labels.key/value (veraltet) additional.fields |
| vendor_id | about.labels.key/value (verworfen) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| Modell | target.asset.hardware.model |
| model_id | about.labels.key/value (veraltet) additional.fields |
| serial | target.asset.hardware.serial_number |
| Klasse | about.labels.key/value (veraltet) additional.fields |
| abgeleitete Klasse | about.labels.key/value (verworfen) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| abnehmbar | about.labels.key/value (verworfen) additional.fields |
user_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „user_events“ und die Betriebssysteme Linux, macOS und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| Nachricht | metadata.description |
| Typ | about.labels.key/value (verworfen) additional.fields |
| Pfad | target.file.full_path |
| Adresse | about.labels.key/value (verworfen) additional.fields |
| Terminal | about.labels.key/value (veraltet) additional.fields |
| Zeit | metadata.collected_timestamp |
| uptime | about.labels.key/value (veraltet) additional.fields |
| eid | metadata.product_log_id |
user_groups
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „user_groups“ und für OS Linux, macOS und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
users
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für die Schemanutzer und die Betriebssysteme macOS, Linux, Windows und FreeBSD aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (veraltet) additional.fields |
| gid_signed | about.labels.key/value (verworfen) additional.fields |
| Nutzername | principal.user.user_display_name |
| description | about.labels.key/value (veraltet) additional.fields |
| Verzeichnis | about.labels.key/value (verworfen) additional.fields |
| shell | about.labels.key/value (verworfen) additional.fields |
| uuid | principal.user.product_object_id |
| Typ | about.labels.key/value (verworfen) additional.fields |
| is_hidden | about.labels.key/value (verworfen) additional.fields |
| pid_with_namespace | about.labels.key/value (verworfen) additional.fields |
wifi_networks
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „wifi_networks“ und das Betriebssystem macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| ssid | target.labels.key/value (verworfen) additional.fields |
| network_name | target.labels.key/value (verworfen) additional.fields |
| security_type | target.labels.key/value (eingestellt) additional.fields |
| last_connected | about.labels.key/value (veraltet) additional.fields |
| Passpoint | about.labels.key/value (verworfen) additional.fields |
| possibly_hidden | about.labels.key/value (verworfen) additional.fields |
| Roaming | about.labels.key/value (veraltet) additional.fields |
| roaming_profile | about.labels.key/value (veraltet) additional.fields |
| captive_portal | about.labels.key/value (verworfen) additional.fields |
| auto_login | target.labels.key/value (verworfen) additional.fields |
| temporarily_disabled | target.labels.key/value (eingestellt) additional.fields |
| deaktiviert | target.labels.key/value (verworfen) additional.fields |
windows_crashes
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_crashes“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Datum/Uhrzeit | about.labels.key/value (veraltet) additional.fields |
| module | about.labels.key/value (verworfen) additional.fields |
| Pfad | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
| process_uptime | about.labels.key/value (verworfen) additional.fields |
| stack_trace | about.labels.key/value (veraltet) additional.fields |
| exception_code | about.labels.key/value (veraltet) additional.fields |
| exception_message | about.labels.key/value (veraltet) additional.fields |
| exception_address | about.labels.key/value (verworfen) additional.fields |
| Register | about.labels.key/value (veraltet) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (veraltet) additional.fields |
| Nutzername | target.user.user_display_name |
| machine_name | about.labels.key/value (verworfen) additional.fields |
| major_version | about.labels.key/value (veraltet) additional.fields |
| minor_version | about.labels.key/value (veraltet) additional.fields |
| build_number | target.platform_version |
| Typ | about.labels.key/value (verworfen) additional.fields |
| crash_path | about.labels.key/value (verworfen) additional.fields |
windows_eventlog
Der Windows Event-Parser (WINEVTLOG) ordnet diese Ereignisse zu. Weitere Informationen finden Sie unter Microsoft Windows-Ereignisdaten erfassen.
windows_events
Diese Ereignisse werden vom Windows-Ereignis-Parser (WINEVTLOG) zugeordnet. Weitere Informationen finden Sie unter Microsoft Windows-Ereignisdaten erfassen.
windows_firewall_rules
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_firewall_rules“ und „Betriebssystem-Fenster“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | about.labels.key/value (verworfen) additional.fields |
| app_name | target.application |
| Aktion | security_result.action (Enum) |
| aktiviert | about.labels.key/value (verworfen) additional.fields |
| Gruppierung | about.labels.key/value (verworfen) additional.fields |
| direction | network.direction |
| Protokoll | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (veraltet) additional.fields |
| profile_domain | about.labels.key/value (veraltet) additional.fields |
| profile_private | about.labels.key/value (verworfen) additional.fields |
| profile_public | about.labels.key/value (veraltet) additional.fields |
| service_name | about.labels.key/value (verworfen) additional.fields |
windows_security_center
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_security_center“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet | |
| Firewall | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| Antivirenprogramm | security_result.detection_fields.key/value |
| Antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „Windows_security_products“ und „Betriebssystem Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| Typ | about.labels.key/value (verworfen) additional.fields |
| name | target.resource.name |
| Status | about.labels.key/value (verworfen) additional.fields |
| state_timestamp | about.labels.key/value (veraltet) additional.fields |
| remediation_path | about.labels.key/value (veraltet) additional.fields |
| signatures_up_to_date | about.labels.key/value (veraltet) additional.fields |
wmi_bios_info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema „wmi_bios_info“ und das Betriebssystem „Windows“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type ist SETTING_MODIFICATION zugeordnet. | |
| name | about.labels.key/value (verworfen) additional.fields |
| Wert | about.labels.key/value (verworfen) additional.fields |
yara
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für das Schema yara und die Betriebssysteme Linux, macOS, FreeBSD und Windows aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| Pfad | target.file.full_path |
| stimmt überein mit | about.labels.key/value (verworfen) additional.fields |
| Anzahl | about.labels.key/value (verworfen) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| Sigrule | security_result.detection_fields.key/value |
| strings | about.labels.key/value (verworfen) additional.fields |
| Tags | about.labels.key/value (verworfen) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für das Schema „yara_events“ und die Betriebssysteme Linux und macOS aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| metadata.event_type wird SETTING_MODIFICATION zugeordnet. | |
| target_path | target.file.full_path |
| category | about.labels.key/value (veraltet) additional.fields |
| Aktion | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| stimmt überein mit | about.labels.key/value (verworfen) additional.fields |
| Anzahl | about.labels.key/value (verworfen) additional.fields |
| strings | about.labels.key/value (verworfen) additional.fields |
| Tags | about.labels.key/value (verworfen) additional.fields |
| Zeit | about.labels.key/value (verworfen) additional.fields |
| eid | metadata.product_log_id |