Collecter les journaux osquery
Ce document explique comment collecter des journaux osquery en configurant osquery et un transfert Google Security Operations. Ce document liste aussi les types de journaux pris en charge et versions d'OSquery compatibles.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Présentation
Le schéma d'architecture de déploiement suivant montre comment les agents osquery et le serveur Fleet sont configurés pour envoyer des journaux à Google Security Operations. Chaque déploiement client peut diffèrent de cette représentation et peuvent être plus complexes.
Le schéma d'architecture présente les composants suivants :
Système Linux : système Linux à surveiller dans lequel l'agent osquery est installé
Système Microsoft Windows: système Microsoft Windows à surveiller, dans lequel l'agent osquery est installé
Système Mac: système Mac à surveiller, dans lequel l'agent osquery est installé
Agent osquery: collecte des informations à partir de Microsoft Windows, Linux ou Mac. et transmet les informations au serveur Fleet
Serveur de parc : surveille et reçoit des informations des agents osquery, analyse les journaux et les transfère au transmetteur Google Security Operations.
Transmetteur Google Security Operations : composant logiciel léger déployé sur le réseau du client pour transmettre les journaux à Google Security Operations.
Google Security Operations: conserve et analyse les journaux provenant le serveur Fleet
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes
au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion OSQUERY_EDR.
Avant de commencer
Installez le serveur Fleet. Pour installer le serveur Fleet, procédez comme suit:
Utilisez une version d'osquery compatible avec l'analyseur Google Security Operations, à savoir les versions 5.2.3 et 5.3.0.
S'assurer que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Assurez-vous que les noms des tables dans "Parc" sont conformes à la documentation officielle du parc.
Configurer l'agent OSquery, le serveur et le redirecteur Google Security Operations
Pour configurer le serveur Fleet et le forwarder Google Security Operations, procédez comme suit :
Pour configurer le serveur de parc, procédez comme suit:
Ajoutez des hôtes au serveur Fleet et installez l'agent osquery. Vous pouvez ajouter votre hôte au serveur de parc à l'aide d'un programme d'installation osquery. Le serveur de parc permet de générer un programme d'installation osquery à l'aide de la commande de package " Fleetctl".
- Exécutez la commande de package fleetctl en installant l'outil de ligne de commande fleetctl.
- Installez l'agent osquery à l'aide de la commande de package fleetctl.
Lorsque vous installez l'installateur osquery généré sur un hôte, celui-ci s'inscrit automatiquement dans l'instance de parc spécifiée.
Récupérez les journaux à partir de l'agent osquery. Pour créer une requête dans Fleet afin d'extraire les journaux, consultez Créer une requête. Pour planifier une requête, consultez Planifier une requête.
Configurez le redirecteur Google Security Operations sur un appareil Linux central afin de transmettre les journaux au système Google Security Operations. Pour en savoir plus, consultez Installer et configurer le forwarder sur Linux. Voici un exemple de configuration du redirecteur Google SecOps:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Documentation de référence sur le mappage de champs
Cette section explique comment l'analyseur Google Security Operations mappe les champs du journal osquery aux champs UMD (Google Security Operations Unified Data Model) pour le schéma et le système d'exploitation. Pour en savoir plus, consultez le schéma osquery pour la version 5.2.3 et la version 5.3.0.
account_policy_data
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma account_policy_data et l'OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ad_config et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | about.labels.key/value (obsolète) additional.fields |
| domaine | target.administrative_domain |
| option | about.labels.key (obsolète) additional.fields.key |
| valeur | about.labels.value (obsolète) additional.fields.value.string_value |
Alf
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value (obsolète) additional.fields |
| firewall_unload | about.labels.key/value (obsolète) additional.fields |
| global_state | about.labels.key/value (obsolète) additional.fields |
| logging_enabled | about.labels.key/value (obsolète) additional.fields |
| logging_option | about.labels.key/value (obsolète) additional.fields |
| stealth_enabled | about.labels.key/value (obsolète) additional.fields |
| version | target.platform_version |
alf_exceptions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf_exceptions et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| state | about.labels.key/value (obsolète) additional.fields |
alf_explicit_auths
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma alf_explicit_auths et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| de diffusion inverse | target.process.pid |
app_schemes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma app_schemes et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| schéma | about.labels.key/value (obsolète) additional.fields |
| handler | about.labels.key/value (obsolète) additional.fields |
| activé | about.labels.key/value (obsolète) additional.fields |
| external | about.labels.key/value (obsolète) additional.fields |
| protégé | about.labels.key/value (obsolète) additional.fields |
apparmor_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma apparmor_events et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| type | about.labels.key/value (obsolète) additional.fields |
| message | metadata.description |
| temps | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| eid | security_result.rule_id |
| apparence | security_result.action |
| opération | about.labels.key/value (obsolète) additional.fields |
| parent | target.process.parent_process.pid |
| profil | about.labels.key/value (obsolète) additional.fields |
| name | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value (obsolète) additional.fields |
| nom de cap | about.labels.key/value (obsolète) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capacité | about.labels.key/value (obsolète) additional.fields |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value (obsolète) additional.fields |
| erreur | security_result.summary |
| espace de noms | about.labels.key/value (obsolète) additional.fields |
| étiquette | about.labels.key/value (obsolète) additional.fields |
apparmor_profiles
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma apparmor_profiles et l'OS Linux :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| name | target.resource.name |
| installer | about.labels.key/value (obsolète) additional.fields |
| Standard | about.labels.key/value (obsolète) additional.fields |
| sha1 | target.file.sha1 |
d'e-commerce
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les applications de schéma et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | target.application |
| chemin d'accès | target.file.full_path |
| bundle_executable | about.labels.key/value (obsolète) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value (obsolète) additional.fields |
| de production | about.labels.key/value (obsolète) additional.fields |
| élément | about.labels.key/value (obsolète) additional.fields |
| compilateur | about.labels.key/value (obsolète) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value (obsolète) additional.fields |
| info_string | about.labels.key/value (obsolète) additional.fields |
| minimum_system_version | about.labels.key/value (obsolète) additional.fields |
| category | about.labels.key/value (obsolète) additional.fields |
| applescript_enabled | about.labels.key/value (obsolète) additional.fields |
| droits d'auteur | about.labels.key/value (obsolète) additional.fields |
| last_opened_time | target.file.last_seen_time |
ASL
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma asl et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| temps | about.labels.key/value (obsolète) additional.fields |
| time_nano_sec | about.labels.key/value (obsolète) additional.fields |
| hôte | target.hostname |
| sender | about.labels.key/value (obsolète) additional.fields |
| installation | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value (obsolète) additional.fields |
| message | metadata.description |
| ref_pid | about.labels.key/value (obsolète) additional.fields |
| ref_proc | about.labels.key/value (obsolète) additional.fields |
| bonus | about.labels.key/value (obsolète) additional.fields |
code d'authentification
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma authenticode et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| original_program_name | about.labels.key/value (obsolète) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| résultat | security_result.summary |
authorization_mechanisms
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma authorization_mechanisms et le système d'exploitation macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| étiquette | about.labels.key/value (obsolète) additional.fields |
| plugin | about.labels.key/value (obsolète) additional.fields |
| mécanisme | about.labels.key/value (obsolète) additional.fields |
| privilégiée | about.labels.key/value (obsolète) additional.fields |
| entry | about.labels.key/value (obsolète) additional.fields |
autorisations
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les autorisations de schéma et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| étiquette | about.labels.key/value (obsolète) additional.fields |
| modifiée | about.labels.key/value (obsolète) additional.fields |
| allow_root | about.labels.key/value (obsolète) additional.fields |
| délai avant expiration | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
| essaie | about.labels.key/value (obsolète) additional.fields |
| authenticate_user | about.labels.key/value (obsolète) additional.fields |
| partagés | about.labels.key/value (obsolète) additional.fields |
| commentaire | about.labels.key/value (obsolète) additional.fields |
| créé | about.labels.key/value (obsolète) additional.fields |
| classe | about.labels.key/value (obsolète) additional.fields |
| session_owner | about.labels.key/value (obsolète) additional.fields |
autoexec
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma autoexec et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| name | target.application |
| source | target.resource.name |
bitlocker_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bitlocker_info et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value (obsolète) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bpf_process_events et l'OS Linux :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| tid | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| parent | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (obsolète) additional.fields |
| exit_code | about.labels.key/value (obsolète) additional.fields |
| probe_error | about.labels.key/value (obsolète) additional.fields |
| appel système | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.process.file.full_path |
| cwd | about.labels.key/value (obsolète) additional.fields |
| cmdline | target.process.command_line |
| duration | about.labels.key/value (obsolète) additional.fields |
| json_cmdline | about.labels.key/value (obsolète) additional.fields |
| ntime | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma bpf_socket_events et l'OS Linux :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| tid | about.labels.key/value (obsolète) additional.fields |
| pid | principal.process.pid |
| parent | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value (obsolète) additional.fields |
| exit_code | about.labels.key/value (obsolète) additional.fields |
| probe_error | about.labels.key/value (obsolète) additional.fields |
| appel système | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.file.full_path |
| Fd | about.labels.key/value (obsolète) additional.fields |
| famille | about.labels.key/value (obsolète) additional.fields |
| type | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value (obsolète) additional.fields |
| ntime | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
certificates
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les certificats de schéma et OS macOS et Windows:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| common_name | about.labels.key/value (obsolète) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value (obsolète) additional.fields |
| self_signed | about.labels.key/value (obsolète) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value (obsolète) additional.fields |
| key_algorithm | about.labels.key/value (obsolète) additional.fields |
| key_strength | about.labels.key/value (obsolète) additional.fields |
| key_usage | about.labels.key/value (obsolète) additional.fields |
| subject_key_id | about.labels.key/value (obsolète) additional.fields |
| authority_key_id | about.labels.key/value (obsolète) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| chemin d'accès | about.labels.key/value (obsolète) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value (obsolète) additional.fields |
| store_location | about.labels.key/value (obsolète) additional.fields |
| store | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | principal.user.user_display_name |
| store_id | about.labels.key/value (obsolète) additional.fields |
chassis_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma chassis_info et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value (obsolète) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value (obsolète) additional.fields |
| description | metadata.description |
| cadenas | about.labels.key/value (obsolète) additional.fields |
| fabricant | principal.asset.hardware.manufacturer |
| modèle | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value (obsolète) additional.fields |
| sku | about.labels.key/value (obsolète) additional.fields |
| état | about.labels.key/value (obsolète) additional.fields |
| visible_alarm | about.labels.key/value (obsolète) additional.fields |
chrome_extensions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma chrome_extensions et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| profil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identifier | target.resource.attribute.labels.key/value |
| version | target.resource.attribute.labels.key/value |
| description | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| Author (Auteur) | target.resource.attribute.labels.key/value |
| persistant(e) | target.resource.attribute.labels.key/value |
| chemin d'accès | target.file.full_path |
| autorisations | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| référencé | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| clé | target.resource.attribute.labels.key/value |
connectivité
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour la connectivité du schéma et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| déconnecté | about.labels.key/value (obsolète) additional.fields |
| ipv4_no_traffic | about.labels.key/value (obsolète) additional.fields |
| ipv6_no_traffic | about.labels.key/value (obsolète) additional.fields |
| ipv4_subnet | about.labels.key/value (obsolète) additional.fields |
| ipv4_local_network | about.labels.key/value (obsolète) additional.fields |
| ipv4_internet | about.labels.key/value (obsolète) additional.fields |
| ipv6_subnet | about.labels.key/value (obsolète) additional.fields |
| ipv6_local_network | about.labels.key/value (obsolète) additional.fields |
| ipv6_internet | about.labels.key/value (obsolète) additional.fields |
cpu_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma cpu_info et les systèmes d'exploitation Windows:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| device_id | principal.asset.product_object_id |
| modèle | principal.asset.hardware.model |
| fabricant | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value (obsolète) additional.fields |
| disponibilité | about.labels.key/value (obsolète) additional.fields |
| cpu_status | about.labels.key/value (obsolète) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value (obsolète) additional.fields |
| address_width | about.labels.key/value (obsolète) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value (obsolète) additional.fields |
plantages
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour les plantages de schéma et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| type | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| chemin d'accès | target.process.file.full_path |
| crash_path | target.file.full_path |
| identifier | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
| parent | target.process.parent_process.pid |
| responsable | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| Date/Heure | metadata.event_timestamp |
| crashed_thread | about.labels.key/value (obsolète) additional.fields |
| stack_trace | about.labels.key/value (obsolète) additional.fields |
| exception_type | about.labels.key/value (obsolète) additional.fields |
| exception_codes | about.labels.key/value (obsolète) additional.fields |
| exception_notes | about.labels.key/value (obsolète) additional.fields |
| registres | about.labels.key/value (obsolète) additional.fields |
crontab
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma crontab et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| event | about.labels.key/value (obsolète) additional.fields |
| minute | about.labels.key/value (obsolète) additional.fields |
| heure | about.labels.key/value (obsolète) additional.fields |
| day_of_month | about.labels.key/value (obsolète) additional.fields |
| mois | about.labels.key/value (obsolète) additional.fields |
| day_of_week | about.labels.key/value (obsolète) additional.fields |
| commande | principal.process.command_line |
| chemin d'accès | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
curl
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma curl et les systèmes d'exploitation macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| url | network.http.referral_url |
| méthode | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| bytes | network.received_bytes |
| résultat | about.labels.key/value (obsolète) additional.fields |
curl_certificate
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma curl_certificate et les systèmes d'exploitation macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| nom d'hôte | principal.hostname |
| common_name | about.labels.key/value (obsolète) additional.fields |
| organisation | network.organization_name |
| organization_unit | about.labels.key/value (obsolète) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value (obsolète) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value (obsolète) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value (obsolète) additional.fields |
| signature | about.labels.key/value (obsolète) additional.fields |
| subject_key_identifier | about.labels.key/value (obsolète) additional.fields |
| authority_key_identifier | about.labels.key/value (obsolète) additional.fields |
| key_usage | about.labels.key/value (obsolète) additional.fields |
| extended_key_usage | about.labels.key/value (obsolète) additional.fields |
| règles | about.labels.key/value (obsolète) additional.fields |
| subject_alternative_names | about.labels.key/value (obsolète) additional.fields |
| issuer_alternative_names | about.labels.key/value (obsolète) additional.fields |
| info_access | about.labels.key/value (obsolète) additional.fields |
| subject_info_access | about.labels.key/value (obsolète) additional.fields |
| policy_mappings | about.labels.key/value (obsolète) additional.fields |
| has_expired | about.labels.key/value (obsolète) additional.fields |
| basic_constraint | about.labels.key/value (obsolète) additional.fields |
| name_constraints | about.labels.key/value (obsolète) additional.fields |
| policy_constraints | about.labels.key/value (obsolète) additional.fields |
| dump_certificate | about.labels.key/value (obsolète) additional.fields |
| délai avant expiration | about.labels.key/value (obsolète) additional.fields |
| pem | about.labels.key/value (obsolète) additional.fields |
device_file
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma device_file et les OS Linux, macOS, freebsd et Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| appareil | about.labels.key/value (obsolète) additional.fields |
| partition | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.file.full_path |
| filename | target.file.names |
| nœud d'index | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Standard | about.labels.key/value (obsolète) additional.fields |
| taille | target.file.size |
| block_size | about.labels.key/value (obsolète) additional.fields |
| atime | about.labels.key/value (obsolète) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (obsolète) additional.fields |
| hard_links | about.labels.key/value (obsolète) additional.fields |
| type | about.labels.key/value (obsolète) additional.fields |
device_hash
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma device_hash et les OS Linux, macOS, freebsd et Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| appareil | target.file.full_path |
| partition | about.labels.key/value (obsolète) additional.fields |
| nœud d'index | about.labels.key/value (obsolète) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma disk_info et les systèmes d'exploitation Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| partitions | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| type | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value (obsolète) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| fabricant | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| description | principal.asset.attribute.labels.key/value |
dns_cache
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma dns_cache et les systèmes d'exploitation Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | network.dns.additional.name |
| type | about.labels.key/value (obsolète) additional.fields |
| flags | about.labels.key/value (obsolète) additional.fields |
dns_resolvers
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma dns_resolvers et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | about.labels.key/value (obsolète) additional.fields |
| type | about.labels.key/value (obsolète) additional.fields |
| address | principal.ip |
| netmask | about.labels.key/value (obsolète) additional.fields |
| options | about.labels.key/value (obsolète) additional.fields |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
docker_container_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma "docker_container_networks" et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value (obsolète) additional.fields |
| ID du point de terminaison | about.labels.key/value (obsolète) additional.fields |
| passerelle | about.labels.key/value (obsolète) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value (obsolète) additional.fields |
| ipv6_gateway | about.labels.key/value (obsolète) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value (obsolète) additional.fields |
| mac_address | target.mac |
docker_container_ports
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma "docker_container_ports" et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| type | network.ip_protocol |
| port | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_container_processes et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value (obsolète) additional.fields |
| resident_size | about.labels.key/value (obsolète) additional.fields |
| total_size | about.labels.key/value (obsolète) additional.fields |
| start_time | about.labels.key/value (obsolète) additional.fields |
| parent | target.process.parent_process.pid |
| pgroup | about.labels.key/value (obsolète) additional.fields |
| threads | about.labels.key/value (obsolète) additional.fields |
| nice | about.labels.key/value (obsolète) additional.fields |
| utilisateur | target.user.user_display_name |
| temps | about.labels.key/value (obsolète) additional.fields |
| processeur | about.labels.key/value (obsolète) additional.fields |
| Mém. | about.labels.key/value (obsolète) additional.fields |
docker_container_stats
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma docker_container_stats et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| pids | about.labels.key/value (obsolète) additional.fields |
| read | about.labels.key/value (obsolète) additional.fields |
| à lire à l'avance | about.labels.key/value (obsolète) additional.fields |
| interval | about.labels.key/value (obsolète) additional.fields |
| disk_read | about.labels.key/value (obsolète) additional.fields |
| disk_write | about.labels.key/value (obsolète) additional.fields |
| num_procs | about.labels.key/value (obsolète) additional.fields |
| cpu_total_usage | about.labels.key/value (obsolète) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value (obsolète) additional.fields |
| cpu_usermode_usage | about.labels.key/value (obsolète) additional.fields |
| system_cpu_usage | about.labels.key/value (obsolète) additional.fields |
| online_cpus | about.labels.key/value (obsolète) additional.fields |
| pre_cpu_total_usage | about.labels.key/value (obsolète) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value (obsolète) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value (obsolète) additional.fields |
| pre_system_cpu_usage | about.labels.key/value (obsolète) additional.fields |
| pre_online_cpus | about.labels.key/value (obsolète) additional.fields |
| memory_usage | about.labels.key/value (obsolète) additional.fields |
| memory_max_usage | about.labels.key/value (obsolète) additional.fields |
| memory_limit | about.labels.key/value (obsolète) additional.fields |
| network_rx_bytes | about.labels.key/value (obsolète) additional.fields |
| network_tx_bytes | about.labels.key/value (obsolète) additional.fields |
docker_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_info et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| Conteneurs | about.labels.key/value (obsolète) additional.fields |
| containers_running | about.labels.key/value (obsolète) additional.fields |
| containers_paused | about.labels.key/value (obsolète) additional.fields |
| containers_stopped | about.labels.key/value (obsolète) additional.fields |
| images | about.labels.key/value (obsolète) additional.fields |
| storage_driver | about.labels.key/value (obsolète) additional.fields |
| memory_limit | about.labels.key/value (obsolète) additional.fields |
| swap_limit | about.labels.key/value (obsolète) additional.fields |
| kernel_memory | about.labels.key/value (obsolète) additional.fields |
| cpu_cfs_period | about.labels.key/value (obsolète) additional.fields |
| cpu_cfs_quota | about.labels.key/value (obsolète) additional.fields |
| cpu_shares | about.labels.key/value (obsolète) additional.fields |
| cpu_set | about.labels.key/value (obsolète) additional.fields |
| ipv4_forwarding | about.labels.key/value (obsolète) additional.fields |
| bridge_nf_iptables | about.labels.key/value (obsolète) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value (obsolète) additional.fields |
| oom_kill_disable | about.labels.key/value (obsolète) additional.fields |
| logging_driver | about.labels.key/value (obsolète) additional.fields |
| cgroup_driver | about.labels.key/value (obsolète) additional.fields |
| kernel_version | about.labels.key/value (obsolète) additional.fields |
| os | about.labels.key/value (obsolète) additional.fields |
| os_type | target.platform(enum) |
| architecture | about.labels.key/value (obsolète) additional.fields |
| processeurs | about.labels.key/value (obsolète) additional.fields |
| mémoire | about.labels.key/value (obsolète) additional.fields |
| http_proxy | about.labels.key/value (obsolète) additional.fields |
| https_proxy | about.labels.key/value (obsolète) additional.fields |
| no_proxy | about.labels.key/value (obsolète) additional.fields |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_network_labels et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| clé | target.resource.attribute.labels.key/value |
| valeur | about.labels.key/value (obsolète) additional.fields |
docker_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma docker_networks et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | about.labels.key/value (obsolète) additional.fields |
| pilote | about.labels.key/value (obsolète) additional.fields |
| créé | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value (obsolète) additional.fields |
| sous-réseau | about.labels.key/value (obsolète) additional.fields |
| passerelle | about.labels.key/value (obsolète) additional.fields |
ec2_instance_metadata
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma "ec2_instance_metadata" et le système d'exploitation macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value (obsolète) additional.fields |
| architecture | about.labels.key/value (obsolète) additional.fields |
| région | target.location.country_or_region |
| availability_zone | about.labels.key/value (obsolète) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| Mac | target.mac |
| security_groups | about.labels.key/value (obsolète) additional.fields |
| iam_arn | about.labels.key/value (obsolète) additional.fields |
| ami_id | about.labels.key/value (obsolète) additional.fields |
| reservation_id | about.labels.key/value (obsolète) additional.fields |
| Identifiant du compte | target.user.userid |
| ssh_public_key | about.labels.key/value (obsolète) additional.fields |
es_process_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma es_process_events et l'OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| version | target.platform_version |
| seq_num | about.labels.key/value (obsolète) additional.fields |
| global_seq_num | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| chemin d'accès | target.process.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value (obsolète) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (obsolète) additional.fields |
| env | about.labels.key/value (obsolète) additional.fields |
| env_count | about.labels.key/value (obsolète) additional.fields |
| cwd | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (obsolète) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | target.user.user_display_name |
| signing_id | about.labels.key/value (obsolète) additional.fields |
| team_id | about.labels.key/value (obsolète) additional.fields |
| cdhash | about.labels.key/value (obsolète) additional.fields |
| platform_binary | about.labels.key/value (obsolète) additional.fields |
| exit_code | about.labels.key/value (obsolète) additional.fields |
| child_pid | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| event_type | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_hosts et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| address | target.ip |
| noms d'hôte | about.hostname |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
etc_protocols
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma etc_protocols et le système d'exploitation macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | network.ip_protocol |
| Nombre | about.labels.key/value (obsolète) additional.fields |
| Alias | about.labels.key/value (obsolète) additional.fields |
| commentaire | about.labels.key/value (obsolète) additional.fields |
etc_services
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma etc_services et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | target.resource.name |
| port | target.port |
| protocol | network.ip_protocol |
| aliases | about.labels.key/value (obsolète) additional.fields |
| commentaire | about.labels.key/value (obsolète) additional.fields |
fichier
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le fichier de schéma et OS macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| répertoire | about.labels.key/value (obsolète) additional.fields |
| filename | target.file.names |
| nœud d'index | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Standard | about.labels.key/value (obsolète) additional.fields |
| appareil | target.asset.asset_id |
| taille | target.file.size |
| block_size | about.labels.key/value (obsolète) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value (obsolète) additional.fields |
| btime | about.labels.key/value (obsolète) additional.fields |
| hard_links | about.labels.key/value (obsolète) additional.fields |
| lien symbolique | about.labels.key/value (obsolète) additional.fields |
| type | about.labels.key/value (obsolète) additional.fields |
| attributes | about.labels.key/value (obsolète) additional.fields |
| volume_serial | about.labels.key/value (obsolète) additional.fields |
| file_id | about.labels.key/value (obsolète) additional.fields |
| file_version | about.labels.key/value (obsolète) additional.fields |
| product_version | about.labels.key/value (obsolète) additional.fields |
| bsd_flags | about.labels.key/value (obsolète) additional.fields |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
| mount_namespace_id | about.labels.key/value (obsolète) additional.fields |
file_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma file_events et l'OS Linux :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| opération | about.labels.key/value (obsolète) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| temps | about.labels.key/value (obsolète) additional.fields |
| exécutable | about.labels.key/value (obsolète) additional.fields |
| partielle | about.labels.key/value (obsolète) additional.fields |
| cwd | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value (obsolète) additional.fields |
| euid | about.labels.key/value (obsolète) additional.fields |
| egid | about.labels.key/value (obsolète) additional.fields |
| fsuid | about.labels.key/value (obsolète) additional.fields |
| fsgid | about.labels.key/value (obsolète) additional.fields |
| suid | about.labels.key/value (obsolète) additional.fields |
| sgid | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
contrôleur d'accès
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le gatekeeper de schéma et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value (obsolète) additional.fields |
| dev_id_enabled | about.labels.key/value (obsolète) additional.fields |
| version | target.asset.software.version |
| opaque_version | about.labels.key/value (obsolète) additional.fields |
gatekeeper_approved_apps
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma gatekeeper_approved_apps et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| condition | about.labels.key/value (obsolète) additional.fields |
| ctime | about.labels.key/value (obsolète) additional.fields |
| mtime | target.resource.attribute.last_update_time |
groupes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les groupes de schémas et OS macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| commentaire | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma matériel_events et OS Linux, macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| action | security_result.action_details |
| chemin d'accès | target.asset.attribute.labels.key/value |
| type | target.asset.attribute.labels.key/value |
| pilote | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| modèle | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| Révision | target.asset.attribute.labels.key/value |
| temps | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le hachage de schéma et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| répertoire | about.labels.key/value (obsolète) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
| mount_namespace_id | about.labels.key/value (obsolète) additional.fields |
interface_addresses
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les interfaces_address de schéma et les systèmes d'exploitation macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| interface | about.labels.key/value (obsolète) additional.fields |
| address | target.ip |
| masquer | about.labels.key/value (obsolète) additional.fields |
| diffuser | about.labels.key/value (obsolète) additional.fields |
| point_to_point | about.labels.key/value (obsolète) additional.fields |
| type | about.labels.key/value (obsolète) additional.fields |
| friendly_name | about.labels.key/value (obsolète) additional.fields |
interface_details
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma interface_details et les systèmes d'exploitation macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| interface | about.labels.key/value (obsolète) additional.fields |
| mac | target.mac |
| type | about.labels.key/value (obsolète) additional.fields |
| mtu | about.labels.key/value (obsolète) additional.fields |
| métrique | about.labels.key/value (obsolète) additional.fields |
| flags | about.labels.key/value (obsolète) additional.fields |
| ipackets | about.labels.key/value (obsolète) additional.fields |
| opackets | about.labels.key/value (obsolète) additional.fields |
| ioctets | network.sent_bytes |
| ooctets | network.received_bytes |
| ierrors | about.labels.key/value (obsolète) additional.fields |
| erreurs | about.labels.key/value (obsolète) additional.fields |
| idrops | about.labels.key/value (obsolète) additional.fields |
| odrops | about.labels.key/value (obsolète) additional.fields |
| collisions | about.labels.key/value (obsolète) additional.fields |
| last_change | about.labels.key/value (obsolète) additional.fields |
| link_speed | about.labels.key/value (obsolète) additional.fields |
| pci_slot | about.labels.key/value (obsolète) additional.fields |
| friendly_name | about.labels.key/value (obsolète) additional.fields |
| description | about.labels.key/value (obsolète) additional.fields |
| fabricant | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value (obsolète) additional.fields |
| connection_status | about.labels.key/value (obsolète) additional.fields |
| activé | about.labels.key/value (obsolète) additional.fields |
| physical_adapter | about.labels.key/value (obsolète) additional.fields |
| speed | about.labels.key/value (obsolète) additional.fields |
| service | target.application |
| dhcp_enabled | about.labels.key/value (obsolète) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value (obsolète) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value (obsolète) additional.fields |
| dns_host_name | about.labels.key/value (obsolète) additional.fields |
| dns_server_search_order | about.labels.key/value (obsolète) additional.fields |
interface_ipv6
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma interface_ipv6 et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| interface | about.labels.key/value (obsolète) additional.fields |
| hop_limit | about.labels.key/value (obsolète) additional.fields |
| forwarding_enabled | about.labels.key/value (obsolète) additional.fields |
| redirect_accept | about.labels.key/value (obsolète) additional.fields |
| rtadv_accept | about.labels.key/value (obsolète) additional.fields |
iptables
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma iptables et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| filter_name | about.labels.key/value (obsolète) additional.fields |
| chaîne | about.labels.key/value (obsolète) additional.fields |
| stratégie | about.labels.key/value (obsolète) additional.fields |
| cible | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value (obsolète) additional.fields |
| iniface | about.labels.key/value (obsolète) additional.fields |
| iniface_mask | about.labels.key/value (obsolète) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value (obsolète) additional.fields |
| Outiface | about.labels.key/value (obsolète) additional.fields |
| outiface_mask | about.labels.key/value (obsolète) additional.fields |
| correspondance | about.labels.key/value (obsolète) additional.fields |
| paquets | about.labels.key/value (obsolète) additional.fields |
| bytes | network.received_bytes |
kernel_panics
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma kernel_panics et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| temps | about.labels.key/value (obsolète) additional.fields |
| registres | about.labels.key/value (obsolète) additional.fields |
| frame_backtrace | about.labels.key/value (obsolète) additional.fields |
| module_backtrace | about.labels.key/value (obsolète) additional.fields |
| les dépendances | about.labels.key/value (obsolète) additional.fields |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value (obsolète) additional.fields |
| system_model | target.asset.hardware.model |
| uptime | about.labels.key/value (obsolète) additional.fields |
| last_loaded | about.labels.key/value (obsolète) additional.fields |
| last_unloaded | about.labels.key/value (obsolète) additional.fields |
keychain_acls
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma keychain_acls et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| keychain_path | about.labels.key/value (obsolète) additional.fields |
| autorisations | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.file.full_path |
| description | metadata.description |
| étiquette | about.labels.key/value (obsolète) additional.fields |
known_hosts
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma known_hosts et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| uid | target.user.userid |
| clé | about.labels.key/value (obsolète) additional.fields |
| key_file | target.file.full_path |
dernière
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le dernier schéma et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| nom d'utilisateur | target.user.user_display_name |
| tty | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| type | about.labels.key/value (obsolète) additional.fields |
| type_name | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| hôte | target.hostname |
listening_ports
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma listening_ports et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| pid | target.process.pid |
| port | target.port |
| protocol | network.ip_protocol |
| famille | about.labels.key/value (obsolète) additional.fields |
| address | target.ip |
| Fd | about.labels.key/value (obsolète) additional.fields |
| socket | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.process.file.full_path |
| net_namespace | about.labels.key/value (obsolète) additional.fields |
logged_in_users
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma "logged_in_users" et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| type | about.labels.key/value (obsolète) additional.fields |
| utilisateur | target.user.userid |
| tty | about.labels.key/value (obsolète) additional.fields |
| hôte | target.hostname |
| temps | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value (obsolète) additional.fields |
| registry_hive | about.labels.key/value (obsolète) additional.fields |
logon_sessions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les schémas logon_sessions et OS Windows:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| logon_id | about.labels.key/value (obsolète) additional.fields |
| utilisateur | target.user.user_display_name |
| logon_domain | about.labels.key/value (obsolète) additional.fields |
| authentication_package | about.labels.key/value (obsolète) additional.fields |
| logon_type | about.labels.key/value (obsolète) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value (obsolète) additional.fields |
| logon_time | about.labels.key/value (obsolète) additional.fields |
| logon_server | about.labels.key/value (obsolète) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value (obsolète) additional.fields |
| logon_script | about.labels.key/value (obsolète) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value (obsolète) additional.fields |
| home_directory_drive | about.labels.key/value (obsolète) additional.fields |
lxd_certificates
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma lxd_certificates et les mappages UDM correspondants:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | security_result.detection_fields.key/value |
| type | security_result.detection_fields.key/value |
| fingerprint | security_result.detection_fields.key/value |
| certificat | security_result.detection_fields.key/value |
lxd_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma lxd_networks et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | about.labels.key/value (obsolète) additional.fields |
| type | about.labels.key/value (obsolète) additional.fields |
| géré | about.labels.key/value (obsolète) additional.fields |
| ipv4_address | about.labels.key/value (obsolète) additional.fields |
| ipv6_address | about.labels.key/value (obsolète) additional.fields |
| used_by | about.labels.key/value (obsolète) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value (obsolète) additional.fields |
| packets_sent | about.labels.key/value (obsolète) additional.fields |
| hwaddr | about.labels.key/value (obsolète) additional.fields |
| state | about.labels.key/value (obsolète) additional.fields |
| mtu | about.labels.key/value (obsolète) additional.fields |
managed_policies
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma managed_policies et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| domaine | target.administrative_domain |
| uuid | about.labels.key/value (obsolète) additional.fields |
| name | about.labels.key/value (obsolète) additional.fields |
| valeur | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | target.user.user_display_name |
| manuel | about.labels.key/value (obsolète) additional.fields |
memory_devices
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma memory_devices et les OS Linux, macOS :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| handle | about.labels.key/value (obsolète) additional.fields |
| array_handle | about.labels.key/value (obsolète) additional.fields |
| form_factor | about.labels.key/value (obsolète) additional.fields |
| total_width | about.labels.key/value (obsolète) additional.fields |
| data_width | about.labels.key/value (obsolète) additional.fields |
| taille | about.labels.key/value (obsolète) additional.fields |
| set | about.labels.key/value (obsolète) additional.fields |
| device_locator | about.labels.key/value (obsolète) additional.fields |
| bank_locator | about.labels.key/value (obsolète) additional.fields |
| memory_type | about.labels.key/value (obsolète) additional.fields |
| memory_type_details | about.labels.key/value (obsolète) additional.fields |
| max_speed | about.labels.key/value (obsolète) additional.fields |
| configured_clock_speed | about.labels.key/value (obsolète) additional.fields |
| fabricant | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value (obsolète) additional.fields |
| min_voltage | about.labels.key/value (obsolète) additional.fields |
| max_voltage | about.labels.key/value (obsolète) additional.fields |
| configured_voltage | about.labels.key/value (obsolète) additional.fields |
ntdomains
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ntdomains et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | about.labels.key/value (obsolète) additional.fields |
| client_site_name | about.labels.key/value (obsolète) additional.fields |
| dc_site_name | about.labels.key/value (obsolète) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value (obsolète) additional.fields |
| domain_name | target.administrative_domain |
| état | about.labels.key/value (obsolète) additional.fields |
ntfs_acl_permissions
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma ntfs_acl_permissions et OS Windows:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| type | about.labels.key/value (obsolète) additional.fields |
| compte principal | about.labels.key/value (obsolète) additional.fields |
| accès | about.labels.key/value (obsolète) additional.fields |
| inherited_from | about.labels.key/value (obsolète) additional.fields |
os_version
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma os_version et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | about.labels.key/value (obsolète) additional.fields |
| version | principal.platform_version |
| majeure | about.labels.key/value (obsolète) additional.fields |
| mineure | about.labels.key/value (obsolète) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value (obsolète) additional.fields |
| platform (plate-forme) | principal.platform |
| platform_like | about.labels.key/value (obsolète) additional.fields |
| codename | about.labels.key/value (obsolète) additional.fields |
| arch | about.labels.key/value (obsolète) additional.fields |
| install_date | about.labels.key/value (obsolète) additional.fields |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
| mount_namespace_id | about.labels.key/value (obsolète) additional.fields |
osquery_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma osquery_events et OS macOS, Linux, Windows et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | target.resource.name |
| diffuseur | about.label.key/value |
| type | about.label.key/value |
| abonnements | about.label.key/value |
| événement | about.label.key/value |
| actualisations | about.label.key/value |
| actif | about.label.key/value |
sécurité
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les correctifs de schéma et le système d'exploitation Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| CSS | target.hostname |
| hotfix_id | about.labels.key/value (obsolète) additional.fields |
| sous-titres | about.labels.key/value (obsolète) additional.fields |
| description | metadata.description |
| fix_comments | about.labels.key/value (obsolète) additional.fields |
| installed_by | about.labels.key/value (obsolète) additional.fields |
| install_date | about.labels.key/value (obsolète) additional.fields |
| installed_on | about.labels.key/value (obsolète) additional.fields |
pci_devices
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma pci_devices et OS Linux, macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| pci_slot | principal.labels.key/value (obsolète) additional.fields |
| pci_class | principal.labels.key/value (obsolète) additional.fields |
| conducteur | principal.labels.key/value (obsolète) additional.fields |
| vendor | principal.labels.key/value (obsolète) additional.fields |
| vendor_id | principal.labels.key/value (obsolète) additional.fields |
| modèle | principal.asset.hardware.model |
| model_id | principal.labels.key/value (obsolète) additional.fields |
| sous-système | principal.labels.key/value (obsolète) additional.fields |
| express | principal.labels.key/value (obsolète) additional.fields |
| foudre | principal.labels.key/value (obsolète) additional.fields |
| amovible | principal.labels.key/value (obsolète) additional.fields |
| pci_class_id | principal.labels.key/value (obsolète) additional.fields |
| pci_subclass_id | principal.labels.key/value (obsolète) additional.fields |
| pci_subclass | principal.labels.key/value (obsolète) additional.fields |
| subsystem_vendor_id | principal.labels.key/value (obsolète) additional.fields |
| subsystem_vendor | principal.labels.key/value (obsolète) additional.fields |
| subsystem_model_id | principal.labels.key/value (obsolète) additional.fields |
| subsystem_model | principal.labels.key/value (obsolète) additional.fields |
pipes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les canaux de schéma et l'OS Linux :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | target.resource.name |
| instances | about.labels.key/value (obsolète) additional.fields |
| max_instances | about.labels.key/value (obsolète) additional.fields |
| flags | about.labels.key/value (obsolète) additional.fields |
powershell_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma powershell_events et OS Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| temps | metadata.collected_timestamp |
| Date/Heure | about.labels.key/value (obsolète) additional.fields |
| script_block_id | about.labels.key/value (obsolète) additional.fields |
| script_block_count | about.labels.key/value (obsolète) additional.fields |
| script_text | about.labels.key/value (obsolète) additional.fields |
| script_name | about.labels.key/value (obsolète) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value (obsolète) additional.fields |
process_envs
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_envs et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| pid | target.process.pid |
| clé | about.labels.key |
| valeur | about.labels.value |
process_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_events et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| version | target.platform_version |
| seq_num | about.labels.key/value (obsolète) additional.fields |
| global_seq_num | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| chemin d'accès | target.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value (obsolète) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value (obsolète) additional.fields |
| env | about.labels.key/value (obsolète) additional.fields |
| env_count | about.labels.key/value (obsolète) additional.fields |
| cwd | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value (obsolète) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | target.user.user_display_name |
| signing_id | about.labels.key/value (obsolète) additional.fields |
| team_id | about.labels.key/value (obsolète) additional.fields |
| cdhash | about.labels.key/value (obsolète) additional.fields |
| platform_binary | about.labels.key/value (obsolète) additional.fields |
| exit_code | about.labels.key/value (obsolète) additional.fields |
| child_pid | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| event_type | about.labels.key/value (obsolète) additional.fields |
| eid | about.labels.key/value (obsolète) additional.fields |
process_file_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma process_file_events et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| opération | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| temps | about.labels.key/value (obsolète) additional.fields |
| exécutable | about.labels.key/value (obsolète) additional.fields |
| partielle | about.labels.key/value (obsolète) additional.fields |
| cwd | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.file.full_path |
| dest_path | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value (obsolète) additional.fields |
| euid | about.labels.key/value (obsolète) additional.fields |
| egid | about.labels.key/value (obsolète) additional.fields |
| fsuid | about.labels.key/value (obsolète) additional.fields |
| fsgid | about.labels.key/value (obsolète) additional.fields |
| suid | about.labels.key/value (obsolète) additional.fields |
| sgid | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
Le tableau suivant répertorie les champs de journalisation et les mappages UDM correspondants pour le schéma process_open_sockets et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value (obsolète) additional.fields |
| socket | about.labels.key/value (obsolète) additional.fields |
| famille | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| chemin d'accès | target.file.full_path |
| state | about.labels.key/value (obsolète) additional.fields |
| net_namespace | about.labels.key/value (obsolète) additional.fields |
processes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les processus de schéma et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value (obsolète) additional.fields |
| racine | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value (obsolète) additional.fields |
| egid | about.labels.key/value (obsolète) additional.fields |
| suid | about.labels.key/value (obsolète) additional.fields |
| sgid | about.labels.key/value (obsolète) additional.fields |
| on_disk | about.labels.key/value (obsolète) additional.fields |
| wired_size | about.labels.key/value (obsolète) additional.fields |
| resident_size | about.labels.key/value (obsolète) additional.fields |
| total_size | about.labels.key/value (obsolète) additional.fields |
| user_time | about.labels.key/value (obsolète) additional.fields |
| system_time | about.labels.key/value (obsolète) additional.fields |
| disk_bytes_read | about.labels.key/value (obsolète) additional.fields |
| disk_bytes_written | about.labels.key/value (obsolète) additional.fields |
| start_time | about.labels.key/value (obsolète) additional.fields |
| parent | target.process.parent_process.pid |
| pgroup | about.labels.key/value (obsolète) additional.fields |
| threads | about.labels.key/value (obsolète) additional.fields |
| nice | about.labels.key/value (obsolète) additional.fields |
| elevated_token | about.labels.key/value (obsolète) additional.fields |
| secure_process | about.labels.key/value (obsolète) additional.fields |
| protection_type | about.labels.key/value (obsolète) additional.fields |
| virtual_process | about.labels.key/value (obsolète) additional.fields |
| elapsed_time | about.labels.key/value (obsolète) additional.fields |
| handle_count | about.labels.key/value (obsolète) additional.fields |
| percent_processor_time | about.labels.key/value (obsolète) additional.fields |
| upid | about.labels.key/value (obsolète) additional.fields |
| uppid | about.labels.key/value (obsolète) additional.fields |
| cpu_type | about.labels.key/value (obsolète) additional.fields |
| cpu_subtype | about.labels.key/value (obsolète) additional.fields |
programmes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les programmes de schéma et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | target.resource.name |
| version | target.platform_version |
| install_location | about.labels.key/value (obsolète) additional.fields |
| install_source | about.labels.key/value (obsolète) additional.fields |
| langue | about.labels.key/value (obsolète) additional.fields |
| diffuseur | about.labels.key/value (obsolète) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value (obsolète) additional.fields |
| identifying_number | about.labels.key/value (obsolète) additional.fields |
scheduled_tasks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Schedule Tasks et OS Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | target.resource.name |
| action | security_result.action_details |
| chemin d'accès | target.file.full_path |
| activé | about.labels.key/value (obsolète) additional.fields |
| state | about.labels.key/value (obsolète) additional.fields |
| (couche | about.labels.key/value (obsolète) additional.fields |
| last_run_time | about.labels.key/value (obsolète) additional.fields |
| next_run_time | about.labels.key/value (obsolète) additional.fields |
| last_run_message | about.labels.key/value (obsolète) additional.fields |
| last_run_code | about.labels.key/value (obsolète) additional.fields |
seccomp_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma seccomp_events et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| temps | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| auid | about.labels.key/value (obsolète) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| S | about.labels.key/value (obsolète) additional.fields |
| pid | target.process.pid |
| communication | about.labels.key/value (obsolète) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value (obsolète) additional.fields |
| arch | about.labels.key/value (obsolète) additional.fields |
| appel système | about.labels.key/value (obsolète) additional.fields |
| compat | about.labels.key/value (obsolète) additional.fields |
| ip | about.labels.key/value (obsolète) additional.fields |
| code | about.labels.key/value (obsolète) additional.fields |
seLinux_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma seLinux_events et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| type | about.labels.key/value (obsolète) additional.fields |
| message | metadata.description |
| temps | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
shadow
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour l'ombre de schéma et l'OS Linux :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| password_status | about.labels.key/value (obsolète) additional.fields |
| hash_alg | about.labels.key/value (obsolète) additional.fields |
| last_change | about.labels.key/value (obsolète) additional.fields |
| min | about.labels.key/value (obsolète) additional.fields |
| max | about.labels.key/value (obsolète) additional.fields |
| avertissement | about.labels.key/value (obsolète) additional.fields |
| inactif | about.labels.key/value (obsolète) additional.fields |
| expire | about.labels.key/value (obsolète) additional.fields |
| option | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | principal.user.user_display_name |
shell_history
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma shell_history et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| uid | principal.user.userid |
| temps | about.labels.key/value (obsolète) additional.fields |
| commande | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le shimcache du schéma et les systèmes d'exploitation Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| entry | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value (obsolète) additional.fields |
signature
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour la signature de schéma et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| hash_resources | about.labels.key/value (obsolète) additional.fields |
| arch | about.labels.key/value (obsolète) additional.fields |
| a signé | target.file.pe_file.signature_info.verified |
| identifier | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value (obsolète) additional.fields |
| team_identifier | about.labels.key/value (obsolète) additional.fields |
| Autorité | about.labels.key/value (obsolète) additional.fields |
sip_config
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma sip_config et OS macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| config_flag | about.labels.key/value (obsolète) additional.fields |
| activé | about.labels.key/value (obsolète) additional.fields |
| enabled_nvram | about.labels.key/value (obsolète) additional.fields |
socket_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma socket_events et les OS Linux, macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| action | security_result.action_details |
| pid | target.process.pid |
| chemin d'accès | target.process.file.full_path |
| fd | about.labels.key/value (obsolète) additional.fields |
| auid | target.user.userid |
| état | about.labels.key/value (obsolète) additional.fields |
| famille | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| uptime | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
| success | about.labels.key/value (obsolète) additional.fields |
sudoers
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma sudoers et les OS Linux, macOS et FreeBSD :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| source | about.labels.key/value (obsolète) additional.fields |
| en-tête | about.labels.key/value (obsolète) additional.fields |
| rule_details | about.labels.key/value (obsolète) additional.fields |
syslog_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour les schémas syslog_events et OS Linux:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| temps | about.labels.key/value (obsolète) additional.fields |
| Date/Heure | about.labels.key/value (obsolète) additional.fields |
| hôte | target.hostname |
| de gravité, | security_result.severity (enum) |
| installation | about.labels.key/value (obsolète) additional.fields |
| tag | about.labels.key/value (obsolète) additional.fields |
| message | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
system_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma system_info et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| nom d'hôte | principal.administrative_domain |
| uuid | about.labels.key/value (obsolète) additional.fields |
| cpu_type | about.labels.key/value (obsolète) additional.fields |
| cpu_subtype | about.labels.key/value (obsolète) additional.fields |
| cpu_brand | about.labels.key/value (obsolète) additional.fields |
| cpu_physical_cores | about.labels.key/value (obsolète) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value (obsolète) additional.fields |
| physical_memory | about.labels.key/value (obsolète) additional.fields |
| hardware_vendor | about.labels.key/value (obsolète) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value (obsolète) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value (obsolète) additional.fields |
| board_model | about.labels.key/value (obsolète) additional.fields |
| board_version | about.labels.key/value (obsolète) additional.fields |
| board_serial | about.labels.key/value (obsolète) additional.fields |
| computer_name | about.labels.key/value (obsolète) additional.fields |
| local_hostname | about.labels.key/value (obsolète) additional.fields |
tpm_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma tpm_info et les systèmes d'exploitation Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| activé | about.labels.key/value (obsolète) additional.fields |
| activé | about.labels.key/value (obsolète) additional.fields |
| détenue | about.labels.key/value (obsolète) additional.fields |
| manufacturer_version | about.labels.key/value (obsolète) additional.fields |
| manufacturer_id | about.labels.key/value (obsolète) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value (obsolète) additional.fields |
| spec_version | about.labels.key/value (obsolète) additional.fields |
usb_devices
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma usb_devices et OS Linux, macOS:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| usb_address | about.labels.key/value (obsolète) additional.fields |
| usb_port | about.labels.key/value (obsolète) additional.fields |
| vendor | about.labels.key/value (obsolète) additional.fields |
| vendor_id | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
| modèle | target.asset.hardware.model |
| model_id | about.labels.key/value (obsolète) additional.fields |
| serial | target.asset.hardware.serial_number |
| classe | about.labels.key/value (obsolète) additional.fields |
| sous-classe | about.labels.key/value (obsolète) additional.fields |
| protocol | about.labels.key/value (obsolète) additional.fields |
| amovible | about.labels.key/value (obsolète) additional.fields |
user_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma user_events et OS Linux, macOS et freebsd:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| message | metadata.description |
| type | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.file.full_path |
| address | about.labels.key/value (obsolète) additional.fields |
| terminal | about.labels.key/value (obsolète) additional.fields |
| temps | metadata.collected_timestamp |
| uptime | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |
user_groups
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma user_groups et les OS Linux, macOS et Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
users
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour les utilisateurs du schéma et les OS macOS, Linux, Windows et freebsd :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value (obsolète) additional.fields |
| gid_signed | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | principal.user.user_display_name |
| description | about.labels.key/value (obsolète) additional.fields |
| répertoire | about.labels.key/value (obsolète) additional.fields |
| shell | about.labels.key/value (obsolète) additional.fields |
| uuid | principal.user.product_object_id |
| type | about.labels.key/value (obsolète) additional.fields |
| is_hidden | about.labels.key/value (obsolète) additional.fields |
| pid_with_namespace | about.labels.key/value (obsolète) additional.fields |
wifi_networks
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma wifi_networks et l'OS macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| ssid | target.labels.key/value (obsolète) additional.fields |
| network_name | target.labels.key/value (obsolète) additional.fields |
| security_type | target.labels.key/value (obsolète) additional.fields |
| last_connected | about.labels.key/value (obsolète) additional.fields |
| point d'accès | about.labels.key/value (obsolète) additional.fields |
| possibly_hidden | about.labels.key/value (obsolète) additional.fields |
| itinérance | about.labels.key/value (obsolète) additional.fields |
| roaming_profile | about.labels.key/value (obsolète) additional.fields |
| captive_portal | about.labels.key/value (obsolète) additional.fields |
| auto_login | target.labels.key/value (obsolète) additional.fields |
| temporarily_disabled | target.labels.key/value (obsolète) additional.fields |
| désactivé | target.labels.key/value (obsolète) additional.fields |
windows_crashes
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_crashes et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| Date/Heure | about.labels.key/value (obsolète) additional.fields |
| module | about.labels.key/value (obsolète) additional.fields |
| chemin d'accès | target.process.file.full_path |
| pid | target.process.pid |
| mar | about.labels.key/value (obsolète) additional.fields |
| version | about.labels.key/value (obsolète) additional.fields |
| process_uptime | about.labels.key/value (obsolète) additional.fields |
| stack_trace | about.labels.key/value (obsolète) additional.fields |
| exception_code | about.labels.key/value (obsolète) additional.fields |
| exception_message | about.labels.key/value (obsolète) additional.fields |
| exception_address | about.labels.key/value (obsolète) additional.fields |
| registres | about.labels.key/value (obsolète) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value (obsolète) additional.fields |
| nom d'utilisateur | target.user.user_display_name |
| machine_name | about.labels.key/value (obsolète) additional.fields |
| major_version | about.labels.key/value (obsolète) additional.fields |
| minor_version | about.labels.key/value (obsolète) additional.fields |
| build_number | target.platform_version |
| type | about.labels.key/value (obsolète) additional.fields |
| crash_path | about.labels.key/value (obsolète) additional.fields |
windows_eventlog
L'analyseur d'événements Windows (WINEVTLOG) mappe ces événements. Pour en savoir plus, consultez Collecter les données d'événements Microsoft Windows.
windows_events
L'analyseur d'événements Windows (WINEVTLOG) mappe ces événements. Pour en savoir plus, consultez Collecter les données d'événements Microsoft Windows.
windows_firewall_rules
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_firewall_rules et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | about.labels.key/value (obsolète) additional.fields |
| app_name | target.application |
| action | security_result.action (énumération) |
| activé | about.labels.key/value (obsolète) additional.fields |
| regroupement | about.labels.key/value (obsolète) additional.fields |
| direction | network.direction |
| protocol | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value (obsolète) additional.fields |
| profile_domain | about.labels.key/value (obsolète) additional.fields |
| profile_private | about.labels.key/value (obsolète) additional.fields |
| profile_public | about.labels.key/value (obsolète) additional.fields |
| service_name | about.labels.key/value (obsolète) additional.fields |
windows_security_center
Le tableau suivant liste les champs de journal et les mappages UDM correspondants pour le schéma Windows_security_center et l'OS Windows :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| pare-feu | security_result.detection_fields.key/value |
| mise à jour automatique | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| anti-espion | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma Windows_security_products et OS Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| type | about.labels.key/value (obsolète) additional.fields |
| name | target.resource.name |
| state | about.labels.key/value (obsolète) additional.fields |
| state_timestamp | about.labels.key/value (obsolète) additional.fields |
| remediation_path | about.labels.key/value (obsolète) additional.fields |
| signatures_à_jour | about.labels.key/value (obsolète) additional.fields |
wmi_bios_info
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma wmi_bios_info et OS Windows:
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| name | about.labels.key/value (obsolète) additional.fields |
| valeur | about.labels.key/value (obsolète) additional.fields |
yara
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma yara et les OS Linux, macOS, freebsd et Windows :
| Champ du journal | Mappage UDM |
|---|---|
| Le paramètre metadata.event_type est mappé sur SETTING_MODIFICATION. | |
| chemin d'accès | target.file.full_path |
| correspond à | about.labels.key/value (obsolète) additional.fields |
| nombre | about.labels.key/value (obsolète) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| Sigrule | security_result.detection_fields.key/value |
| chaînes | about.labels.key/value (obsolète) additional.fields |
| tags | about.labels.key/value (obsolète) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
Le tableau suivant répertorie les champs de journal et les mappages UDM correspondants pour le schéma yara_events et les OS Linux, macOS :
| Champ du journal | Mappage UDM |
|---|---|
| metadata.event_type est mappé sur SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| category | about.labels.key/value (obsolète) additional.fields |
| action | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| correspond à | about.labels.key/value (obsolète) additional.fields |
| nombre | about.labels.key/value (obsolète) additional.fields |
| chaînes | about.labels.key/value (obsolète) additional.fields |
| tags | about.labels.key/value (obsolète) additional.fields |
| temps | about.labels.key/value (obsolète) additional.fields |
| eid | metadata.product_log_id |