Mengumpulkan log osquery
Dokumen ini menjelaskan cara mengumpulkan log osquery dengan mengonfigurasi osquery dan forwarder Chronicle. Dokumen ini juga mencantumkan jenis log yang didukung dan versi osquery yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Chronicle.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara agen osquery dan server Fleet dikonfigurasi untuk mengirim log ke Chronicle. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
Sistem Linux: Sistem Linux yang akan dipantau tempat agen osquery diinstal
Sistem Microsoft Windows: Sistem Microsoft Windows yang akan dipantau tempat agen osquery diinstal
Sistem Mac: Sistem Mac yang akan dipantau tempat agen osquery diinstal
agen osquery: Mengumpulkan informasi dari sistem Microsoft Windows, Linux, atau Mac dan meneruskan informasi ke server Fleet
Server fleet: Memantau dan menerima informasi dari agen osquery, menganalisis log, serta meneruskan log ke penerusan Chronicle
Chronicle forwarder: Komponen software ringan, yang di-deploy di jaringan pelanggan untuk meneruskan log ke Chronicle
Chronicle: Menyimpan dan menganalisis log dari server Fleet
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label penyerapan OSQUERY_EDR.
Sebelum memulai
Instal server Armada. Untuk menginstal server Fleet, lakukan hal berikut:
Gunakan versi osquery yang didukung parser Chronicle, yaitu 5.2.3 dan 5.3.0.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.
Pastikan nama tabel di Fleet sesuai dengan dokumentasi Fleet resmi.
Mengonfigurasi agen osquery, server, dan forwarder Chronicle
Untuk mengonfigurasi server Fleet dan forwarder Chronicle, lakukan hal berikut:
Untuk mengonfigurasi server Armada, lakukan hal berikut:
Menambahkan host ke server Fleet dan menginstal agen osquery. Anda dapat menambahkan host ke server Fleet dengan penginstal osquery. Server fleet membantu menghasilkan penginstal osquery dengan perintah paket fleetctl.
- Jalankan perintah paket fleetctl dengan menginstal alat command line fleetctl.
- Instal agen osquery dengan menggunakan perintah paket fleetctl.
Saat Anda menginstal penginstal osquery yang dihasilkan di host, host akan otomatis mendaftar di instance Fleet yang ditentukan.
Ambil log dari agen osquery. Untuk membuat kueri di Fleet guna mengambil log, lihat Membuat kueri dan untuk menjadwalkan kueri, lihat bagian Menjadwalkan kueri.
Konfigurasi forwarder Chronicle di perangkat Linux pusat untuk mengirim log ke sistem Chronicle. Untuk mengetahui informasi selengkapnya, buka Menginstal dan mengonfigurasi forwarder di Linux. Berikut adalah contoh konfigurasi penerusan Chronicle:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser Chronicle memetakan kolom log osquery ke kolom Chronicle Unified Data Model (UDM) untuk skema dan sistem operasi. Untuk mengetahui informasi selengkapnya, lihat skema osquery untuk versi 5.2.3 dan versi 5.3.0.
account_policy_data
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema account_policy_data dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ad_config dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | about.labels.key/value |
| domain | target.administrative_domain |
| opsi | about.labels.key |
| value | about.labels.value |
alf
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema alf dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value |
| firewall_unload | about.labels.key/value |
| global_state | about.labels.key/value |
| logging_enabled | about.labels.key/value |
| logging_option | about.labels.key/value |
| stealth_enabled | about.labels.key/value |
| version | target.platform_version |
alf_exceptions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema alf_exceptions dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| state | about.labels.key/value |
alf_explicit_auths
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema alf_explicit_auths dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| mundur | target.process.pid |
app_schemes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema app_skemas dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| skema | about.labels.key/value |
| handler | about.labels.key/value |
| diaktifkan | about.labels.key/value |
| eksternal | about.labels.key/value |
| dilindungi | about.labels.key/value |
apparmor_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema apparmor_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value |
| pesan | metadata.description |
| waktu | about.labels.key/value |
| waktu beroperasi | about.labels.key/value |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| operasi | about.labels.key/value |
| parent | target.process.parent_process.pid |
| profil | about.labels.key/value |
| name | about.labels.key/value |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value |
| nama kapital | about.labels.key/value |
| fsuid | target.user.attribute.labels.key/value |
| Ouid | target.user.attribute.labels.key/value |
| kemampuan | about.labels.key/value |
| requested_mask | target.process.access_mask |
| info | about.labels.key/value |
| error | security_result.summary |
| namespace | about.labels.key/value |
| label | about.labels.key/value |
apparmor_profiles
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema apparmor_profiles dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| name | target.resource.name |
| pasang | about.labels.key/value |
| mode | about.labels.key/value |
| sha1 | target.file.sha1 |
aplikasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk aplikasi skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | target.application |
| jalur | target.file.full_path |
| bundle_executable | about.labels.key/value |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value |
| environment | about.labels.key/value |
| elemen | about.labels.key/value |
| kompilator | about.labels.key/value |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value |
| info_string | about.labels.key/value |
| minimum_system_version | about.labels.key/value |
| category | about.labels.key/value |
| applescript_enabled | about.labels.key/value |
| hak cipta | about.labels.key/value |
| last_opened_time | target.file.last_seen_time |
asl
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema asl dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | about.labels.key/value |
| time_nano_sec | about.labels.key/value |
| host | target.hostname |
| pengirim | about.labels.key/value |
| fasilitas | about.labels.key/value |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| tingkat | about.labels.key/value |
| pesan | metadata.description |
| ref_pid | about.labels.key/value |
| ref_proc | about.labels.key/value |
| tambahan | about.labels.key/value |
kode autentikasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk authenticode skema dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| original_program_name | about.labels.key/value |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| hasil | security_result.summary |
authorization_mechanisms
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema authorization_mechanisms dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| label | about.labels.key/value |
| plugin | about.labels.key/value |
| mekanisme | about.labels.key/value |
| hak istimewa | about.labels.key/value |
| entri | about.labels.key/value |
otorisasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk otorisasi skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| label | about.labels.key/value |
| diubah | about.labels.key/value |
| allow_root | about.labels.key/value |
| timeout | about.labels.key/value |
| version | about.labels.key/value |
| tries | about.labels.key/value |
| authenticate_user | about.labels.key/value |
| bersama | about.labels.key/value |
| komentar | about.labels.key/value |
| dibuat | about.labels.key/value |
| class | about.labels.key/value |
| session_owner | about.labels.key/value |
Autoexec
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema autoexec dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| name | target.application |
| sumber | target.resource.name |
bitlocker_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema bitlocker_info dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema bpf_process_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| tid | about.labels.key/value |
| pid | target.process.pid |
| parent | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value |
| exit_code | about.labels.key/value |
| probe_error | about.labels.key/value |
| {i>syscall<i} | about.labels.key/value |
| jalur | target.process.file.full_path |
| cwd | about.labels.key/value |
| cmdline | target.process.command_line |
| durasi | about.labels.key/value |
| json_cmdline | about.labels.key/value |
| {i>ntime<i} | about.labels.key/value |
| waktu | about.labels.key/value |
| eid | metadata.product_log_id |
bpf_socket_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema bpf_socket_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| tid | about.labels.key/value |
| pid | principal.process.pid |
| parent | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value |
| exit_code | about.labels.key/value |
| probe_error | about.labels.key/value |
| {i>syscall<i} | about.labels.key/value |
| jalur | target.file.full_path |
| fd | about.labels.key/value |
| keluarga | about.labels.key/value |
| jenis | about.labels.key/value |
| protokol | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| durasi | about.labels.key/value |
| {i>ntime<i} | about.labels.key/value |
| waktu | about.labels.key/value |
| eid | metadata.product_log_id |
sertifikat
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk sertifikat skema dan OS macOS, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| common_name | about.labels.key/value |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value |
| self_signed | about.labels.key/value |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value |
| key_algorithm | about.labels.key/value |
| key_strength | about.labels.key/value |
| key_usage | about.labels.key/value |
| subject_key_id | about.labels.key/value |
| authority_key_id | about.labels.key/value |
| sha1 | network.tls.client.certificate.sha1 |
| jalur | about.labels.key/value |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value |
| store_location | about.labels.key/value |
| penyimpanan | about.labels.key/value |
| nama pengguna | principal.user.user_display_name |
| store_id | about.labels.key/value |
chassis_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema chassis_info dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value |
| deskripsi | metadata.description |
| lock | about.labels.key/value |
| produsen | principal.asset.hardware.manufacturer |
| model | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value |
| sku | about.labels.key/value |
| status | about.labels.key/value |
| visible_alarm | about.labels.key/value |
chrome_extensions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema chrome_extensions dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| profil | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| ID | target.resource.attribute.labels.key/value |
| version | target.resource.attribute.labels.key/value |
| deskripsi | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| penulis | target.resource.attribute.labels.key/value |
| persisten | target.resource.attribute.labels.key/value |
| jalur | target.file.full_path |
| ANGGOTA | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| direferensikan | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| kunci | target.resource.attribute.labels.key/value |
konektivitas
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk konektivitas skema dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| sambungan terputus | about.labels.key/value |
| ipv4_no_traffic | about.labels.key/value |
| ipv6_no_traffic | about.labels.key/value |
| ipv4_subnet | about.labels.key/value |
| ipv4_local_network | about.labels.key/value |
| ipv4_internet | about.labels.key/value |
| ipv6_subnet | about.labels.key/value |
| ipv6_local_network | about.labels.key/value |
| ipv6_internet | about.labels.key/value |
cpu_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema cpu_info dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| model | principal.asset.hardware.model |
| produsen | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value |
| ketersediaan | about.labels.key/value |
| cpu_status | about.labels.key/value |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value |
| address_width | about.labels.key/value |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value |
error
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk error skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value |
| pid | target.process.pid |
| jalur | target.process.file.full_path |
| crash_path | target.file.full_path |
| ID | about.labels.key/value |
| version | about.labels.key/value |
| parent | target.process.parent_process.pid |
| bertanggung jawab | about.labels.key/value |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value |
| stack_trace | about.labels.key/value |
| exception_type | about.labels.key/value |
| exception_codes | about.labels.key/value |
| exception_notes | about.labels.key/value |
| register | about.labels.key/value |
crontab
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk crontab skema serta OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| event | about.labels.key/value |
| menit | about.labels.key/value |
| jam | about.labels.key/value |
| day_of_month | about.labels.key/value |
| bulan | about.labels.key/value |
| day_of_week | about.labels.key/value |
| perintah | principal.process.command_line |
| jalur | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value |
curl
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema curl dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| url | network.http.referral_url |
| method | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| byte | network.received_bytes |
| hasil | about.labels.key/value |
curl_certificate
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema curl_certificate dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| hostname | principal.hostname |
| common_name | about.labels.key/value |
| organisasi | network.organization_name |
| organization_unit | about.labels.key/value |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value |
| tanda tangan | about.labels.key/value |
| subject_key_identifier | about.labels.key/value |
| authority_key_identifier | about.labels.key/value |
| key_usage | about.labels.key/value |
| extended_key_usage | about.labels.key/value |
| kebijakan | about.labels.key/value |
| subject_alternative_names | about.labels.key/value |
| issuer_alternative_names | about.labels.key/value |
| info_access | about.labels.key/value |
| subject_info_access | about.labels.key/value |
| policy_mappings | about.labels.key/value |
| has_expired | about.labels.key/value |
| basic_constraint | about.labels.key/value |
| name_constraints | about.labels.key/value |
| policy_constraints | about.labels.key/value |
| dump_certificate | about.labels.key/value |
| timeout | about.labels.key/value |
| pem | about.labels.key/value |
device_file
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema device_file dan OS Linux, macOS, freebsd, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device | about.labels.key/value |
| partisi | about.labels.key/value |
| jalur | target.file.full_path |
| filename | target.file.names |
| {i>inode<i} | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| mode | about.labels.key/value |
| ukuran | target.file.size |
| block_size | about.labels.key/value |
| Atime | about.labels.key/value |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value |
| hard_links | about.labels.key/value |
| jenis | about.labels.key/value |
device_hash
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema device_hash dan OS Linux, macOS, freebsd, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| device | target.file.full_path |
| partisi | about.labels.key/value |
| {i>inode<i} | about.labels.key/value |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema disk_info dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| partisi | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| jenis | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value |
| disk_size | principal.asset.attribute.labels.key/value |
| produsen | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| deskripsi | principal.asset.attribute.labels.key/value |
dns_cache
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema dns_cache dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | network.dns.additional.name |
| jenis | about.labels.key/value |
| flag | about.labels.key/value |
dns_resolvers
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema dns_resolvers dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | about.labels.key/value |
| jenis | about.labels.key/value |
| alamat | principal.ip |
| {i>netmask<i} | about.labels.key/value |
| opsi | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
docker_container_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_networks serta OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value |
| endpoint_id | about.labels.key/value |
| gateway | about.labels.key/value |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value |
| ipv6_gateway | about.labels.key/value |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value |
| mac_address | target.mac |
docker_container_ports
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_ports serta OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| jenis | network.ip_protocol |
| port | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_processes serta OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| EUID | target.user.attribute.labels.key/value |
| Egi | target.group.attribute.labels.key/value |
| Suid | target.user.attribute.labels.key/value |
| Sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value |
| resident_size | about.labels.key/value |
| total_size | about.labels.key/value |
| start_time | about.labels.key/value |
| parent | target.process.parent_process.pid |
| grup | about.labels.key/value |
| threads | about.labels.key/value |
| nyaman | about.labels.key/value |
| pengguna | target.user.user_display_name |
| waktu | about.labels.key/value |
| cpu | about.labels.key/value |
| mem | about.labels.key/value |
docker_container_stats
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_container_stats dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| PID | about.labels.key/value |
| read | about.labels.key/value |
| baca sebelumnya | about.labels.key/value |
| interval | about.labels.key/value |
| disk_read | about.labels.key/value |
| disk_write | about.labels.key/value |
| num_procs | about.labels.key/value |
| cpu_total_usage | about.labels.key/value |
| cpu_kernelmode_usage | about.labels.key/value |
| cpu_usermode_usage | about.labels.key/value |
| system_cpu_usage | about.labels.key/value |
| online_cpus | about.labels.key/value |
| pre_cpu_total_usage | about.labels.key/value |
| pre_cpu_kernelmode_usage | about.labels.key/value |
| pre_cpu_usermode_usage | about.labels.key/value |
| pre_system_cpu_usage | about.labels.key/value |
| pre_online_cpus | about.labels.key/value |
| memory_usage | about.labels.key/value |
| memory_max_usage | about.labels.key/value |
| memory_limit | about.labels.key/value |
| network_rx_bytes | about.labels.key/value |
| network_tx_bytes | about.labels.key/value |
docker_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_info dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| containers | about.labels.key/value |
| containers_running | about.labels.key/value |
| containers_paused | about.labels.key/value |
| containers_stopped | about.labels.key/value |
| gambar | about.labels.key/value |
| storage_driver | about.labels.key/value |
| memory_limit | about.labels.key/value |
| swap_limit | about.labels.key/value |
| kernel_memory | about.labels.key/value |
| cpu_cfs_period | about.labels.key/value |
| cpu_cfs_quota | about.labels.key/value |
| cpu_shares | about.labels.key/value |
| cpu_set | about.labels.key/value |
| ipv4_forwarding | about.labels.key/value |
| bridge_nf_iptables | about.labels.key/value |
| bridge_nf_ip6tables | about.labels.key/value |
| oom_kill_disable | about.labels.key/value |
| logging_driver | about.labels.key/value |
| cgroup_driver | about.labels.key/value |
| kernel_version | about.labels.key/value |
| os | about.labels.key/value |
| os_type | target.platform(enum) |
| berbasis cloud | about.labels.key/value |
| cpus | about.labels.key/value |
| memory | about.labels.key/value |
| http_proxy | about.labels.key/value |
| https_proxy | about.labels.key/value |
| no_proxy | about.labels.key/value |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_network_labels dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| kunci | target.resource.attribute.labels.key/value |
| value | about.labels.key/value |
docker_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema docker_networks dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | about.labels.key/value |
| pengemudi | about.labels.key/value |
| dibuat | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value |
| subnet | about.labels.key/value |
| gateway | about.labels.key/value |
ec2_instance_metadata
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ec2_instance_metadata dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value |
| berbasis cloud | about.labels.key/value |
| region | target.location.country_or_region |
| availability_zone | about.labels.key/value |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value |
| iam_arn | about.labels.key/value |
| ami_id | about.labels.key/value |
| reservation_id | about.labels.key/value |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value |
es_process_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema es_process_events dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value |
| global_seq_num | about.labels.key/value |
| pid | target.process.pid |
| jalur | target.process.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value |
| env | about.labels.key/value |
| env_count | about.labels.key/value |
| cwd | about.labels.key/value |
| uid | target.user.userid |
| EUID | about.labels.key/value |
| gid | target.group.product_object_id |
| Egi | about.labels.key/value |
| nama pengguna | target.user.user_display_name |
| signing_id | about.labels.key/value |
| team_id | about.labels.key/value |
| {i>cdhash<i} | about.labels.key/value |
| platform_binary | about.labels.key/value |
| exit_code | about.labels.key/value |
| child_pid | about.labels.key/value |
| waktu | about.labels.key/value |
| event_type | about.labels.key/value |
| eid | metadata.product_log_id |
etc_hosts
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema etc_hosts serta OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| alamat | target.ip |
| nama host | about.hostname |
| pid_with_namespace | about.labels.key/value |
etc_protocols
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema etc_protocols dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | network.ip_protocol |
| angka | about.labels.key/value |
| alias | about.labels.key/value |
| komentar | about.labels.key/value |
etc_services
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema etc_services dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | target.resource.name |
| port | target.port |
| protokol | network.ip_protocol |
| aliases | about.labels.key/value |
| komentar | about.labels.key/value |
file
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk file skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| direktori | about.labels.key/value |
| filename | target.file.names |
| {i>inode<i} | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| mode | about.labels.key/value |
| device | target.asset.asset_id |
| ukuran | target.file.size |
| block_size | about.labels.key/value |
| Atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value |
| btime | about.labels.key/value |
| hard_links | about.labels.key/value |
| {i>symlink<i} | about.labels.key/value |
| jenis | about.labels.key/value |
| atribut | about.labels.key/value |
| volume_serial | about.labels.key/value |
| file_id | about.labels.key/value |
| file_version | about.labels.key/value |
| product_version | about.labels.key/value |
| bsd_flags | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
file_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema file_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| operasi | about.labels.key/value |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| waktu | about.labels.key/value |
| dapat dieksekusi | about.labels.key/value |
| partial | about.labels.key/value |
| cwd | about.labels.key/value |
| jalur | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| Auid | about.labels.key/value |
| EUID | about.labels.key/value |
| Egi | about.labels.key/value |
| fsuid | about.labels.key/value |
| {i>fsgid<i} | about.labels.key/value |
| Suid | about.labels.key/value |
| Sgid | about.labels.key/value |
| waktu beroperasi | about.labels.key/value |
| eid | metadata.product_log_id |
gatekeeper
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk gatekeeper skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value |
| dev_id_enabled | about.labels.key/value |
| version | target.asset.software.version |
| opaque_version | about.labels.key/value |
gatekeeper_approved_apps
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema gatekeeper_Approved_apps dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| persyaratan | about.labels.key/value |
| ctime | about.labels.key/value |
| mtime | target.resource.attribute.last_update_time |
grup
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk grup skema serta OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| nama grup | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| komentar | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema hardware_events dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| action | security_result.action_details |
| jalur | target.asset.attribute.labels.key/value |
| jenis | target.asset.attribute.labels.key/value |
| pengemudi | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| model | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| revisi | target.asset.attribute.labels.key/value |
| waktu | metadata.event_timestamp |
| eid | metadata.product_log_id |
hash
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk hash skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| direktori | about.labels.key/value |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
interface_addresses
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema interface_addresses dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| antarmuka | about.labels.key/value |
| alamat | target.ip |
| mask | about.labels.key/value |
| siarkan | about.labels.key/value |
| point_to_point | about.labels.key/value |
| jenis | about.labels.key/value |
| friendly_name | about.labels.key/value |
interface_details
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema interface_details dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| antarmuka | about.labels.key/value |
| mac | target.mac |
| jenis | about.labels.key/value |
| mtu | about.labels.key/value |
| metrik | about.labels.key/value |
| flag | about.labels.key/value |
| ipacket | about.labels.key/value |
| opacket | about.labels.key/value |
| ibyte | network.sent_bytes |
| obyte | network.received_bytes |
| ierror | about.labels.key/value |
| oerror | about.labels.key/value |
| idrop | about.labels.key/value |
| odrop | about.labels.key/value |
| tabrakan | about.labels.key/value |
| last_change | about.labels.key/value |
| link_speed | about.labels.key/value |
| pci_slot | about.labels.key/value |
| friendly_name | about.labels.key/value |
| deskripsi | about.labels.key/value |
| produsen | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value |
| connection_status | about.labels.key/value |
| diaktifkan | about.labels.key/value |
| physical_adapter | about.labels.key/value |
| Kecepatan | about.labels.key/value |
| pelanggan | target.application |
| dhcp_enabled | about.labels.key/value |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value |
| dns_host_name | about.labels.key/value |
| dns_server_search_order | about.labels.key/value |
interface_ipv6
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema interface_ipv6 dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| antarmuka | about.labels.key/value |
| hop_limit | about.labels.key/value |
| forwarding_enabled | about.labels.key/value |
| redirect_accept | about.labels.key/value |
| rtadv_accept | about.labels.key/value |
IPtables
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema iptables dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| filter_name | about.labels.key/value |
| rantai | about.labels.key/value |
| kebijakan | about.labels.key/value |
| target | about.labels.key/value |
| protokol | about.labels.key/value |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value |
| iniface | about.labels.key/value |
| iniface_mask | about.labels.key/value |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value |
| luar | about.labels.key/value |
| outiface_mask | about.labels.key/value |
| kompensasi | about.labels.key/value |
| paket | about.labels.key/value |
| byte | network.received_bytes |
kernel_panics
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema kernel_panics dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| waktu | about.labels.key/value |
| register | about.labels.key/value |
| frame_backtrace | about.labels.key/value |
| module_backtrace | about.labels.key/value |
| dependensi berurutan | about.labels.key/value |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value |
| system_model | target.asset.hardware.model |
| waktu beroperasi | about.labels.key/value |
| last_loaded | about.labels.key/value |
| last_unloaded | about.labels.key/value |
keychain_acls
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema keychain_acls dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value |
| otorisasi | about.labels.key/value |
| jalur | target.file.full_path |
| deskripsi | metadata.description |
| label | about.labels.key/value |
known_hosts
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema known_hosts dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | target.user.userid |
| kunci | about.labels.key/value |
| key_file | target.file.full_path |
terakhir
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema terakhir dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| nama pengguna | target.user.user_display_name |
| tty | about.labels.key/value |
| pid | target.process.pid |
| jenis | about.labels.key/value |
| type_name | about.labels.key/value |
| waktu | about.labels.key/value |
| host | target.hostname |
listening_ports
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema mendengarkan_ports dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| port | target.port |
| protokol | network.ip_protocol |
| keluarga | about.labels.key/value |
| alamat | target.ip |
| fd | about.labels.key/value |
| socket | about.labels.key/value |
| jalur | target.process.file.full_path |
| net_namespace | about.labels.key/value |
logged_in_users
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema logs_in_users dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value |
| pengguna | target.user.userid |
| tty | about.labels.key/value |
| host | target.hostname |
| waktu | about.labels.key/value |
| pid | target.process.pid |
| sid | about.labels.key/value |
| registry_hive | about.labels.key/value |
logon_sessions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema logon_sessions dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| logon_id | about.labels.key/value |
| pengguna | target.user.user_display_name |
| logon_domain | about.labels.key/value |
| authentication_package | about.labels.key/value |
| logon_type | about.labels.key/value |
| session_id | network.session_id |
| logon_sid | about.labels.key/value |
| logon_time | about.labels.key/value |
| logon_server | about.labels.key/value |
| dns_domain_name | network.dns_domain |
| UPn | about.labels.key/value |
| logon_script | about.labels.key/value |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value |
| home_directory_drive | about.labels.key/value |
lxd_certificates
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema lxd_certificates dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | security_result.detection_fields.key/value |
| jenis | security_result.detection_fields.key/value |
| sidik jari | security_result.detection_fields.key/value |
| sertifikat | security_result.detection_fields.key/value |
lxd_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema lxd_networks dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | about.labels.key/value |
| jenis | about.labels.key/value |
| terkelola | about.labels.key/value |
| ipv4_address | about.labels.key/value |
| ipv6_address | about.labels.key/value |
| used_by | about.labels.key/value |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value |
| packets_sent | about.labels.key/value |
| Hwaddr | about.labels.key/value |
| state | about.labels.key/value |
| mtu | about.labels.key/value |
managed_policies
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema managed_policies dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| domain | target.administrative_domain |
| uuid | about.labels.key/value |
| name | about.labels.key/value |
| value | about.labels.key/value |
| nama pengguna | target.user.user_display_name |
| manual | about.labels.key/value |
memory_devices
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema memory_devices dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| handle | about.labels.key/value |
| array_handle | about.labels.key/value |
| form_factor | about.labels.key/value |
| total_width | about.labels.key/value |
| data_width | about.labels.key/value |
| ukuran | about.labels.key/value |
| set | about.labels.key/value |
| device_locator | about.labels.key/value |
| bank_locator | about.labels.key/value |
| memory_type | about.labels.key/value |
| memory_type_details | about.labels.key/value |
| max_speed | about.labels.key/value |
| configured_clock_speed | about.labels.key/value |
| produsen | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value |
| min_voltage | about.labels.key/value |
| max_voltage | about.labels.key/value |
| configured_voltage | about.labels.key/value |
ntdomain
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk ntdomain skema dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | about.labels.key/value |
| client_site_name | about.labels.key/value |
| dc_site_name | about.labels.key/value |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value |
| domain_name | target.administrative_domain |
| status | about.labels.key/value |
ntfs_acl_permissions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema ntfs_acl_permissions dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| jenis | about.labels.key/value |
| utama | about.labels.key/value |
| access | about.labels.key/value |
| inherited_from | about.labels.key/value |
os_version
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema os_version dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | about.labels.key/value |
| version | principal.platform_version |
| utama | about.labels.key/value |
| di bawah umur | about.labels.key/value |
| patch | principal.platform_patch_level |
| build | about.labels.key/value |
| platform | principal.platform |
| platform_like | about.labels.key/value |
| namakode | about.labels.key/value |
| arch | about.labels.key/value |
| install_date | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
| mount_namespace_id | about.labels.key/value |
osquery_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema osquery_events dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | target.resource.name |
| penayang | about.label.key/value |
| jenis | about.label.key/value |
| langganan | about.label.key/value |
| peristiwa | about.label.key/value |
| refreshes | about.label.key/value |
| aktif | about.label.key/value |
patch
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk patch skema dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| {i>csname<i} | target.hostname |
| hotfix_id | about.labels.key/value |
| keterangan | about.labels.key/value |
| deskripsi | metadata.description |
| fix_comments | about.labels.key/value |
| installed_by | about.labels.key/value |
| install_date | about.labels.key/value |
| installed_on | about.labels.key/value |
pci_devices
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema pci_devices dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value |
| pci_class | principal.labels.key/value |
| pengemudi | principal.labels.key/value |
| vendor | principal.labels.key/value |
| vendor_id | principal.labels.key/value |
| model | principal.asset.hardware.model |
| model_id | principal.labels.key/value |
| subsistem | principal.labels.key/value |
| ekspres | principal.labels.key/value |
| petir | principal.labels.key/value |
| dapat dilepas | principal.labels.key/value |
| pci_class_id | principal.labels.key/value |
| pci_subclass_id | principal.labels.key/value |
| pci_subclass | principal.labels.key/value |
| subsystem_vendor_id | principal.labels.key/value |
| subsystem_vendor | principal.labels.key/value |
| subsystem_model_id | principal.labels.key/value |
| subsystem_model | principal.labels.key/value |
pipa
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk pipa skema dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | target.resource.name |
| instance | about.labels.key/value |
| max_instances | about.labels.key/value |
| flag | about.labels.key/value |
powershell_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema powershell_events dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | metadata.collected_timestamp |
| datetime | about.labels.key/value |
| script_block_id | about.labels.key/value |
| script_block_count | about.labels.key/value |
| script_text | about.labels.key/value |
| script_name | about.labels.key/value |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value |
process_envs
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema process_envs dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| kunci | about.labels.key |
| value | about.labels.value |
process_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_events dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| version | target.platform_version |
| seq_num | about.labels.key/value |
| global_seq_num | about.labels.key/value |
| pid | target.process.pid |
| jalur | target.file.full_path |
| parent | target.process.parent_process.pid |
| original_parent | about.labels.key/value |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value |
| env | about.labels.key/value |
| env_count | about.labels.key/value |
| cwd | about.labels.key/value |
| uid | target.user.userid |
| EUID | about.labels.key/value |
| gid | target.group.product_object_id |
| Egi | about.labels.key/value |
| nama pengguna | target.user.user_display_name |
| signing_id | about.labels.key/value |
| team_id | about.labels.key/value |
| {i>cdhash<i} | about.labels.key/value |
| platform_binary | about.labels.key/value |
| exit_code | about.labels.key/value |
| child_pid | about.labels.key/value |
| waktu | about.labels.key/value |
| event_type | about.labels.key/value |
| eid | about.labels.key/value |
process_file_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_file_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| operasi | about.labels.key/value |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| waktu | about.labels.key/value |
| dapat dieksekusi | about.labels.key/value |
| partial | about.labels.key/value |
| cwd | about.labels.key/value |
| jalur | target.file.full_path |
| dest_path | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| Auid | about.labels.key/value |
| EUID | about.labels.key/value |
| Egi | about.labels.key/value |
| fsuid | about.labels.key/value |
| {i>fsgid<i} | about.labels.key/value |
| Suid | about.labels.key/value |
| Sgid | about.labels.key/value |
| waktu beroperasi | about.labels.key/value |
| eid | metadata.product_log_id |
process_open_sockets
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema process_open_sockets dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value |
| socket | about.labels.key/value |
| keluarga | about.labels.key/value |
| protokol | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| jalur | target.file.full_path |
| state | about.labels.key/value |
| net_namespace | about.labels.key/value |
proses
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk proses skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | about.labels.key/value |
| jalur | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value |
| root | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| EUID | about.labels.key/value |
| Egi | about.labels.key/value |
| Suid | about.labels.key/value |
| Sgid | about.labels.key/value |
| on_disk | about.labels.key/value |
| wired_size | about.labels.key/value |
| resident_size | about.labels.key/value |
| total_size | about.labels.key/value |
| user_time | about.labels.key/value |
| system_time | about.labels.key/value |
| disk_bytes_read | about.labels.key/value |
| disk_bytes_written | about.labels.key/value |
| start_time | about.labels.key/value |
| parent | target.process.parent_process.pid |
| grup | about.labels.key/value |
| threads | about.labels.key/value |
| nyaman | about.labels.key/value |
| elevated_token | about.labels.key/value |
| secure_process | about.labels.key/value |
| protection_type | about.labels.key/value |
| virtual_process | about.labels.key/value |
| elapsed_time | about.labels.key/value |
| handle_count | about.labels.key/value |
| percent_processor_time | about.labels.key/value |
| Upid | about.labels.key/value |
| Uppid | about.labels.key/value |
| cpu_type | about.labels.key/value |
| cpu_subtype | about.labels.key/value |
program
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk program skema dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | target.resource.name |
| version | target.platform_version |
| install_location | about.labels.key/value |
| install_source | about.labels.key/value |
| language | about.labels.key/value |
| penayang | about.labels.key/value |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value |
| identifying_number | about.labels.key/value |
scheduled_tasks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema schedule_tasks dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | target.resource.name |
| action | security_result.action_details |
| jalur | target.file.full_path |
| diaktifkan | about.labels.key/value |
| state | about.labels.key/value |
| hidden | about.labels.key/value |
| last_run_time | about.labels.key/value |
| next_run_time | about.labels.key/value |
| last_run_message | about.labels.key/value |
| last_run_code | about.labels.key/value |
seccomp_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema seccomp_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | about.labels.key/value |
| waktu beroperasi | about.labels.key/value |
| Auid | about.labels.key/value |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value |
| pid | target.process.pid |
| comm | about.labels.key/value |
| exe | target.file.full_path |
| sig | about.labels.key/value |
| arch | about.labels.key/value |
| {i>syscall<i} | about.labels.key/value |
| compat | about.labels.key/value |
| ip | about.labels.key/value |
| code | about.labels.key/value |
seLinux_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema seLinux_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value |
| pesan | metadata.description |
| waktu | about.labels.key/value |
| waktu beroperasi | about.labels.key/value |
| eid | metadata.product_log_id |
bayangan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk bayangan skema dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| password_status | about.labels.key/value |
| hash_alg | about.labels.key/value |
| last_change | about.labels.key/value |
| mnt | about.labels.key/value |
| maks | about.labels.key/value |
| peringatan | about.labels.key/value |
| tidak aktif | about.labels.key/value |
| kedaluwarsa | about.labels.key/value |
| flag | about.labels.key/value |
| nama pengguna | principal.user.user_display_name |
shell_history
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema shell_history dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| waktu | about.labels.key/value |
| perintah | principal.process.command_line |
| history_file | principal.process.file.full_path |
{i>shimcache<i}
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk shimcache skema dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| entri | about.labels.key/value |
| jalur | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value |
tanda tangan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk tanda tangan skema dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| hash_resources | about.labels.key/value |
| arch | about.labels.key/value |
| ditandatangani | target.file.pe_file.signature_info.verified |
| ID | target.file.pe_file.signature_info.signer |
| {i>cdhash<i} | about.labels.key/value |
| team_identifier | about.labels.key/value |
| otoritas | about.labels.key/value |
sip_config
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema sip_config dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| config_flag | about.labels.key/value |
| diaktifkan | about.labels.key/value |
| enabled_nvram | about.labels.key/value |
socket_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema socket_events dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| action | security_result.action_details |
| pid | target.process.pid |
| jalur | target.process.file.full_path |
| fd | about.labels.key/value |
| Auid | target.user.userid |
| status | about.labels.key/value |
| keluarga | about.labels.key/value |
| protokol | about.labels.key/value |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value |
| waktu | about.labels.key/value |
| waktu beroperasi | about.labels.key/value |
| eid | metadata.product_log_id |
| berhasil | about.labels.key/value |
{i>sudoers<i}
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema sudoers dan OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| sumber | about.labels.key/value |
| header | about.labels.key/value |
| rule_details | about.labels.key/value |
syslog_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema syslog_events dan OS Linux:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| waktu | about.labels.key/value |
| datetime | about.labels.key/value |
| host | target.hostname |
| tingkat keseriusan | security_result.severity (enum) |
| fasilitas | about.labels.key/value |
| tag | about.labels.key/value |
| pesan | about.labels.key/value |
| eid | metadata.product_log_id |
system_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk schema system_info dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| hostname | principal.administrative_domain |
| uuid | about.labels.key/value |
| cpu_type | about.labels.key/value |
| cpu_subtype | about.labels.key/value |
| cpu_brand | about.labels.key/value |
| cpu_physical_cores | about.labels.key/value |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value |
| physical_memory | about.labels.key/value |
| hardware_vendor | about.labels.key/value |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value |
| board_model | about.labels.key/value |
| board_version | about.labels.key/value |
| board_serial | about.labels.key/value |
| computer_name | about.labels.key/value |
| local_hostname | about.labels.key/value |
tpm_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema tpm_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| diaktifkan | about.labels.key/value |
| diaktifkan | about.labels.key/value |
| dimiliki | about.labels.key/value |
| manufacturer_version | about.labels.key/value |
| manufacturer_id | about.labels.key/value |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value |
| spec_version | about.labels.key/value |
usb_devices
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema usb_devices dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| usb_address | about.labels.key/value |
| usb_port | about.labels.key/value |
| vendor | about.labels.key/value |
| vendor_id | about.labels.key/value |
| version | about.labels.key/value |
| model | target.asset.hardware.model |
| model_id | about.labels.key/value |
| serial | target.asset.hardware.serial_number |
| class | about.labels.key/value |
| subclass | about.labels.key/value |
| protokol | about.labels.key/value |
| dapat dilepas | about.labels.key/value |
user_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema user_events serta OS Linux, macOS, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| Auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| pesan | metadata.description |
| jenis | about.labels.key/value |
| jalur | target.file.full_path |
| alamat | about.labels.key/value |
| terminal | about.labels.key/value |
| waktu | metadata.collected_timestamp |
| waktu beroperasi | about.labels.key/value |
| eid | metadata.product_log_id |
user_groups
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema user_groups dan OS Linux, macOS, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
pengguna
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk pengguna skema dan OS macOS, Linux, Windows, freebsd:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value |
| gid_signed | about.labels.key/value |
| nama pengguna | principal.user.user_display_name |
| deskripsi | about.labels.key/value |
| direktori | about.labels.key/value |
| shell | about.labels.key/value |
| uuid | principal.user.product_object_id |
| jenis | about.labels.key/value |
| is_hidden | about.labels.key/value |
| pid_with_namespace | about.labels.key/value |
wifi_networks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema wifi_networks dan OS macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| ssid | target.labels.key/value |
| network_name | target.labels.key/value |
| security_type | target.labels.key/value |
| last_connected | about.labels.key/value |
| passpoint | about.labels.key/value |
| possibly_hidden | about.labels.key/value |
| roaming | about.labels.key/value |
| roaming_profile | about.labels.key/value |
| captive_portal | about.labels.key/value |
| auto_login | target.labels.key/value |
| temporarily_disabled | target.labels.key/value |
| dinonaktifkan | target.labels.key/value |
windows_crashes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_crashes dan Windows OS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| datetime | about.labels.key/value |
| modul | about.labels.key/value |
| jalur | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value |
| version | about.labels.key/value |
| process_uptime | about.labels.key/value |
| stack_trace | about.labels.key/value |
| exception_code | about.labels.key/value |
| exception_message | about.labels.key/value |
| exception_address | about.labels.key/value |
| register | about.labels.key/value |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value |
| nama pengguna | target.user.user_display_name |
| machine_name | about.labels.key/value |
| major_version | about.labels.key/value |
| minor_version | about.labels.key/value |
| build_number | target.platform_version |
| jenis | about.labels.key/value |
| crash_path | about.labels.key/value |
windows_eventlog
Parser Windows Event (WinEVTLOG) memetakan peristiwa ini. Lihat Mengumpulkan data Peristiwa Microsoft Windows untuk informasi selengkapnya."
windows_events
Parser Windows Event (WinEVTLOG) memetakan peristiwa ini. Lihat Mengumpulkan data Peristiwa Microsoft Windows untuk informasi selengkapnya.
windows_firewall_rules
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_firewall_rules dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | about.labels.key/value |
| app_name | target.application |
| action | security_result.action (enum) |
| diaktifkan | about.labels.key/value |
| pengelompokan | about.labels.key/value |
| direction | network.direction |
| protokol | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value |
| profile_domain | about.labels.key/value |
| profile_private | about.labels.key/value |
| profile_public | about.labels.key/value |
| service_name | about.labels.key/value |
windows_security_center
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_security_center dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| firewall | security_result.detection_fields.key/value |
| update otomatis | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema Windows_security_products dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jenis | about.labels.key/value |
| name | target.resource.name |
| state | about.labels.key/value |
| state_timestamp | about.labels.key/value |
| remediation_path | about.labels.key/value |
| signatures_up_to_date | about.labels.key/value |
wmi_bios_info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema wmi_bios_info dan OS Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| name | about.labels.key/value |
| value | about.labels.key/value |
Yara
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema yara dan OS Linux, macOS, freebsd, Windows:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| jalur | target.file.full_path |
| cocok | about.labels.key/value |
| count | about.labels.key/value |
| sig_group | security_result.detection_fields.key/value |
| {i>sigfile<i} | security_result.detection_fields.key/value |
| {i>sigrule<i} | security_result.detection_fields.key/value |
| string | about.labels.key/value |
| tags | about.labels.key/value |
| Sigurl | security_result.detection_fields.key/value |
yara_events
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk skema yara_events dan OS Linux, macOS:
| Kolom log | Pemetaan UDM |
|---|---|
| metadata.event_type dipetakan ke SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| category | about.labels.key/value |
| action | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| cocok | about.labels.key/value |
| count | about.labels.key/value |
| string | about.labels.key/value |
| tags | about.labels.key/value |
| waktu | about.labels.key/value |
| eid | metadata.product_log_id |