osquery ログを収集する
このドキュメントでは、osquery と Google Security Operations フォワーダーを構成して、osquery ログを収集する方法について説明します。また、サポートされているログタイプとサポートされている osquery バージョンについても説明します。
詳細については、Google Security Operations へのデータの取り込みをご覧ください。
概要
次のデプロイ アーキテクチャ図は、Google Security Operations にログを送信するように osquery エージェントと Fleet サーバーを構成する方法を示しています。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
このアーキテクチャ図には、次のコンポーネントが示されています。
Linux システム: osquery エージェントがインストールされている、モニタリング対象の Linux システム
Microsoft Windows システム: osquery エージェントがインストールされている、モニタリング対象の Microsoft Windows システム
Mac システム: osquery エージェントがインストールされている、モニタリング対象の Mac システム
osquery エージェント: Microsoft Windows、Linux、Mac から情報を収集し、Fleet サーバーに転送する
Fleet サーバー: osquery エージェントからの情報を監視して受信し、ログを分析して Google Security Operations フォワーダーに転送する
Google Security Operations フォワーダー: お客様のネットワークにデプロイされる軽量のソフトウェア コンポーネントであり、Google Security Operations にログを転送する
Google Security Operations: Fleet サーバーからのログを保持して分析する
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル OSQUERY_EDR が付加されたパーサーに適用されます。
始める前に
Fleet サーバーをインストールします。Fleet サーバーをインストールするには、次の手順を行います。
Google Security Operations パーサーがサポートする osquery バージョン(つまり、5.2.3 と 5.3.0)を使用します。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Fleet のテーブル名が、公式の Fleet ドキュメントに従っていることを確認します。
osquery エージェント、サーバー、Google Security Operations フォワーダーを構成する
Fleet サーバーと Google Security Operations フォワーダーを構成するには、次のようにします。
Fleet サーバーを構成するには、次のようにします。
Fleet サーバーにホストを追加し、osquery エージェントをインストールします。 osquery インストーラを使用してホストを Fleet サーバーに追加できます。Fleet サーバーは、fleetctl パッケージ コマンドを使用して osquery インストーラを生成します。
- fleetclt コマンドライン ツールをインストールして、fleetctl パッケージ コマンドを実行します。
- fleetclt パッケージ コマンドを使用して、osquery エージェントをインストールします。
生成された osquery インストーラをホストにインストールすると、ホストは指定した Fleet インスタンスに自動的に登録されます。
osquery エージェントからログを取得します。Fleet でログ取得用のクエリを作成する方法については、クエリを作成するをご覧ください。クエリをスケジュールする方法については、クエリをスケジュールするをご覧ください。
中央の Linux デバイスで Google Security Operations フォワーダーを構成し、ログを Google Security Operations システムに push します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Google SecOps フォワーダーの構成の例を次に示します。
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
フィールド マッピング リファレンス
このセクションでは、Google Security Operations パーサーが osquery ログフィールドをスキーマとオペレーティング システムの Google Security Operations Unified Data Model(UDM)フィールドにマッピングする方法について説明します。詳細については、バージョン 5.2.3 とバージョン 5.3.0 の osquery スキーマをご覧ください。
account_policy_data
次の表に、スキーマ account_policy_data と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
次の表に、スキーマ ad_config と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | about.labels.key/value(非推奨) additional.fields |
| ドメイン | target.administrative_domain |
| option | about.labels.key(非推奨) additional.fields.key |
| value | about.labels.value(非推奨) additional.fields.value.string_value |
alf
次の表に、スキーマ alf と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| allow_signed_enabled | about.labels.key/value(非推奨) additional.fields |
| firewall_unload | about.labels.key/value(非推奨) additional.fields |
| global_state | about.labels.key/value(非推奨) additional.fields |
| logging_enabled | about.labels.key/value(非推奨) additional.fields |
| logging_option | about.labels.key/value(非推奨) additional.fields |
| stealth_enabled | about.labels.key/value(非推奨) additional.fields |
| バージョン | target.platform_version |
alf_exceptions
次の表に、スキーマ alf_exceptions と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| state | about.labels.key/value(非推奨) additional.fields |
alf_explicit_auths
次の表に、スキーマ alf_explicit_auths と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| プロセス | target.process.pid |
app_schemes
次の表に、スキーマ app_schemes と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| scheme | about.labels.key/value(非推奨) additional.fields |
| handler | about.labels.key/value(非推奨) additional.fields |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| 外部 | about.labels.key/value(非推奨) additional.fields |
| 保護された | about.labels.key/value(非推奨) additional.fields |
apparmor_events
次の表に、スキーマ apparmor_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| type | about.labels.key/value(非推奨) additional.fields |
| メッセージ | metadata.description |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| eid | security_result.rule_id |
| apparmor | security_result.action |
| オペレーション | about.labels.key/value(非推奨) additional.fields |
| 親 | target.process.parent_process.pid |
| プロフィール | about.labels.key/value(非推奨) additional.fields |
| name | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value(非推奨) additional.fields |
| capname | about.labels.key/value(非推奨) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| capability | about.labels.key/value(非推奨) additional.fields |
| requested_mask | target.process.access_mask |
| 情報 | about.labels.key/value(非推奨) additional.fields |
| error | security_result.summary |
| namespace | about.labels.key/value(非推奨) additional.fields |
| ラベル | about.labels.key/value(非推奨) additional.fields |
apparmor_profiles
次の表に、スキーマ apparmor_profiles と OS Linux のログフィールドと、それに対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| name | target.resource.name |
| アタッチする | about.labels.key/value(非推奨) additional.fields |
| モード | about.labels.key/value(非推奨) additional.fields |
| sha1 | target.file.sha1 |
アプリ
次の表に、スキーマ apps と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | target.application |
| パス | target.file.full_path |
| bundle_executable | about.labels.key/value(非推奨) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value(非推奨) additional.fields |
| 環境 | about.labels.key/value(非推奨) additional.fields |
| 要素 | about.labels.key/value(非推奨) additional.fields |
| compiler | about.labels.key/value(非推奨) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value(非推奨) additional.fields |
| info_string | about.labels.key/value(非推奨) additional.fields |
| minimum_system_version | about.labels.key/value(非推奨) additional.fields |
| category | about.labels.key/value(非推奨) additional.fields |
| applescript_enabled | about.labels.key/value(非推奨) additional.fields |
| 著作権 | about.labels.key/value(非推奨) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
次の表に、スキーマ asl と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| time_nano_sec | about.labels.key/value(非推奨) additional.fields |
| ホスト | target.hostname |
| sender | about.labels.key/value(非推奨) additional.fields |
| facility | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| gid | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value(非推奨) additional.fields |
| メッセージ | metadata.description |
| ref_pid | about.labels.key/value(非推奨) additional.fields |
| ref_proc | about.labels.key/value(非推奨) additional.fields |
| extra | about.labels.key/value(非推奨) additional.fields |
authenticode
次の表に、スキーマ autheticode と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| original_program_name | about.labels.key/value(非推奨) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| 件の結果 | security_result.summary |
authorization_mechanisms
次の表に、スキーマ authorization_memachineisms と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ラベル | about.labels.key/value(非推奨) additional.fields |
| plugin | about.labels.key/value(非推奨) additional.fields |
| mechanism | about.labels.key/value(非推奨) additional.fields |
| privileged | about.labels.key/value(非推奨) additional.fields |
| 必要事項を入力します。 | about.labels.key/value(非推奨) additional.fields |
authorizations
次の表に、スキーマ authorizations と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ラベル | about.labels.key/value(非推奨) additional.fields |
| 変更 | about.labels.key/value(非推奨) additional.fields |
| allow_root | about.labels.key/value(非推奨) additional.fields |
| タイムアウト | about.labels.key/value(非推奨) additional.fields |
| バージョン | about.labels.key/value(非推奨) additional.fields |
| tries | about.labels.key/value(非推奨) additional.fields |
| authenticate_user | about.labels.key/value(非推奨) additional.fields |
| 共有 | about.labels.key/value(非推奨) additional.fields |
| コメント | about.labels.key/value(非推奨) additional.fields |
| created | about.labels.key/value(非推奨) additional.fields |
| クラス | about.labels.key/value(非推奨) additional.fields |
| session_owner | about.labels.key/value(非推奨) additional.fields |
autoexec
次の表に、スキーマ autoexec と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| name | target.application |
| ソース | target.resource.name |
bitlocker_info
次の表に、スキーマ bitlocker_info と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value(非推奨) additional.fields |
| conversion_status | target.resource.attirbute.labels.key/value |
| protection_status | target.resource.attirbute.labels.key/value |
| encryption_method | target.resource.attirbute.labels.key/value |
| version | metadata.product_version |
| percentage_encrypted | target.resource.attirbute.labels.key/value |
| lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
次の表に、スキーマ bpf_process_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| tid | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| 親 | target.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value(非推奨) additional.fields |
| exit_code | about.labels.key/value(非推奨) additional.fields |
| probe_error | about.labels.key/value(非推奨) additional.fields |
| syscall | about.labels.key/value(非推奨) additional.fields |
| パス | target.process.file.full_path |
| cwd | about.labels.key/value(非推奨) additional.fields |
| cmdline | target.process.command_line |
| duration | about.labels.key/value(非推奨) additional.fields |
| json_cmdline | about.labels.key/value(非推奨) additional.fields |
| ntime | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
bpf_socket_events
次の表に、スキーマ bpf_socket_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| tid | about.labels.key/value(非推奨) additional.fields |
| pid | principal.process.pid |
| 親 | principal.process.parent_process.pid |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| cid | about.labels.key/value(非推奨) additional.fields |
| exit_code | about.labels.key/value(非推奨) additional.fields |
| probe_error | about.labels.key/value(非推奨) additional.fields |
| syscall | about.labels.key/value(非推奨) additional.fields |
| パス | target.file.full_path |
| fd | about.labels.key/value(非推奨) additional.fields |
| ファミリー | about.labels.key/value(非推奨) additional.fields |
| type | about.labels.key/value(非推奨) additional.fields |
| プロトコル | about.labels.key/value(非推奨) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| duration | about.labels.key/value(非推奨) additional.fields |
| ntime | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
certificates
次の表に、スキーマ certificates と OS macOS、Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| common_name | about.labels.key/value(非推奨) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| CA | about.labels.key/value(非推奨) additional.fields |
| self_signed | about.labels.key/value(非推奨) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value(非推奨) additional.fields |
| key_algorithm | about.labels.key/value(非推奨) additional.fields |
| key_strength | about.labels.key/value(非推奨) additional.fields |
| key_usage | about.labels.key/value(非推奨) additional.fields |
| subject_key_id | about.labels.key/value(非推奨) additional.fields |
| authority_key_id | about.labels.key/value(非推奨) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| パス | about.labels.key/value(非推奨) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value(非推奨) additional.fields |
| store_location | about.labels.key/value(非推奨) additional.fields |
| 保存 | about.labels.key/value(非推奨) additional.fields |
| username | principal.user.user_display_name |
| store_id | about.labels.key/value(非推奨) additional.fields |
chassis_info
次の表に、スキーマ chassis_info と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| audible_alarm | about.labels.key/value(非推奨) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value(非推奨) additional.fields |
| 説明 | metadata.description |
| ロック | about.labels.key/value(非推奨) additional.fields |
| manufacturer | principal.asset.hardware.manufacturer |
| モデル | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value(非推奨) additional.fields |
| sku | about.labels.key/value(非推奨) additional.fields |
| 設定されます。 | about.labels.key/value(非推奨) additional.fields |
| visible_alarm | about.labels.key/value(非推奨) additional.fields |
chrome_extensions
次の表に、スキーマ chrome_extensions と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| プロフィール | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| identifier | target.resource.attribute.labels.key/value |
| version | target.resource.attribute.labels.key/value |
| 説明 | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| 著者 | target.resource.attribute.labels.key/value |
| 永続的 | target.resource.attribute.labels.key/value |
| パス | target.file.full_path |
| 権限 | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| referenced | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| 鍵 | target.resource.attribute.labels.key/value |
接続性
次の表に、スキーマ connectivity と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 切断済み | about.labels.key/value(非推奨) additional.fields |
| ipv4_no_traffic | about.labels.key/value(非推奨) additional.fields |
| ipv6_no_traffic | about.labels.key/value(非推奨) additional.fields |
| ipv4_subnet | about.labels.key/value(非推奨) additional.fields |
| ipv4_local_network | about.labels.key/value(非推奨) additional.fields |
| ipv4_internet | about.labels.key/value(非推奨) additional.fields |
| ipv6_subnet | about.labels.key/value(非推奨) additional.fields |
| ipv6_local_network | about.labels.key/value(非推奨) additional.fields |
| ipv6_internet | about.labels.key/value(非推奨) additional.fields |
cpu_info
次の表に、スキーマ cpu_info と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| device_id | principal.asset.product_object_id |
| モデル | principal.asset.hardware.model |
| manufacturer | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value(非推奨) additional.fields |
| を実現 | about.labels.key/value(非推奨) additional.fields |
| cpu_status | about.labels.key/value(非推奨) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value(非推奨) additional.fields |
| address_width | about.labels.key/value(非推奨) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value(非推奨) additional.fields |
クラッシュ
次の表に、スキーマ crashes と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| type | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| パス | target.process.file.full_path |
| crash_path | target.file.full_path |
| identifier | about.labels.key/value(非推奨) additional.fields |
| バージョン | about.labels.key/value(非推奨) additional.fields |
| 親 | target.process.parent_process.pid |
| responsible | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value(非推奨) additional.fields |
| stack_trace | about.labels.key/value(非推奨) additional.fields |
| exception_type | about.labels.key/value(非推奨) additional.fields |
| exception_codes | about.labels.key/value(非推奨) additional.fields |
| exception_notes | about.labels.key/value(非推奨) additional.fields |
| registers | about.labels.key/value(非推奨) additional.fields |
crontab
次のテーブルに、スキーマ crontab と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 方法です。 | about.labels.key/value(非推奨) additional.fields |
| 分 | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| day_of_month | about.labels.key/value(非推奨) additional.fields |
| month | about.labels.key/value(非推奨) additional.fields |
| day_of_week | about.labels.key/value(非推奨) additional.fields |
| コマンド | principal.process.command_line |
| パス | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
curl
次の表に、スキーマ curl と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| url | network.http.referral_url |
| method | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| バイト | network.received_bytes |
| 件の結果 | about.labels.key/value(非推奨) additional.fields |
curl_certificate
次の表に、スキーマ curl_certificate と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| hostname | principal.hostname |
| common_name | about.labels.key/value(非推奨) additional.fields |
| organization | network.organization_name |
| organization_unit | about.labels.key/value(非推奨) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value(非推奨) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value(非推奨) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| version | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value(非推奨) additional.fields |
| signature | about.labels.key/value(非推奨) additional.fields |
| subject_key_identifier | about.labels.key/value(非推奨) additional.fields |
| authority_key_identifier | about.labels.key/value(非推奨) additional.fields |
| key_usage | about.labels.key/value(非推奨) additional.fields |
| extended_key_usage | about.labels.key/value(非推奨) additional.fields |
| policies | about.labels.key/value(非推奨) additional.fields |
| subject_alternative_names | about.labels.key/value(非推奨) additional.fields |
| issuer_alternative_names | about.labels.key/value(非推奨) additional.fields |
| info_access | about.labels.key/value(非推奨) additional.fields |
| subject_info_access | about.labels.key/value(非推奨) additional.fields |
| policy_mappings | about.labels.key/value(非推奨) additional.fields |
| has_expired | about.labels.key/value(非推奨) additional.fields |
| basic_constraint | about.labels.key/value(非推奨) additional.fields |
| name_constraints | about.labels.key/value(非推奨) additional.fields |
| policy_constraints | about.labels.key/value(非推奨) additional.fields |
| dump_certificate | about.labels.key/value(非推奨) additional.fields |
| タイムアウト | about.labels.key/value(非推奨) additional.fields |
| pem | about.labels.key/value(非推奨) additional.fields |
device_file
次の表に、スキーマ device_file と OS Linux、macOS、freebsd、Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| device | about.labels.key/value(非推奨) additional.fields |
| パーティション | about.labels.key/value(非推奨) additional.fields |
| パス | target.file.full_path |
| filename | target.file.names |
| inode | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| モード | about.labels.key/value(非推奨) additional.fields |
| サイズ | target.file.size |
| block_size | about.labels.key/value(非推奨) additional.fields |
| atime | about.labels.key/value(非推奨) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value(非推奨) additional.fields |
| hard_links | about.labels.key/value(非推奨) additional.fields |
| type | about.labels.key/value(非推奨) additional.fields |
device_hash
次の表に、スキーマ device_hash と OS Linux、macOS、freebsd、Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| デバイスの場合 | target.file.full_path |
| パーティション | about.labels.key/value(非推奨) additional.fields |
| inode | about.labels.key/value(非推奨) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
次の表に、スキーマ disk_info と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| partitions | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| タイプ | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value(非推奨) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| manufacturer | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| 説明 | principal.asset.attribute.labels.key/value |
dns_cache
次の表に、スキーマ dns_cache と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | network.dns.additional.name |
| type | about.labels.key/value(非推奨) additional.fields |
| flags | about.labels.key/value(非推奨) additional.fields |
dns_resolvers
次の表に、スキーマ dns_resolvers と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | about.labels.key/value(非推奨) additional.fields |
| type | about.labels.key/value(非推奨) additional.fields |
| address | principal.ip |
| netmask | about.labels.key/value(非推奨) additional.fields |
| オプション | about.labels.key/value(非推奨) additional.fields |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
docker_container_networks
次の表に、スキーマ docker_container_networks と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value(非推奨) additional.fields |
| endpoint_id | about.labels.key/value(非推奨) additional.fields |
| ゲートウェイ | about.labels.key/value(非推奨) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value(非推奨) additional.fields |
| ipv6_gateway | about.labels.key/value(非推奨) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value(非推奨) additional.fields |
| mac_address | target.mac |
docker_container_ports
次の表に、スキーマ docker_container_ports と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.asset.product_object_id |
| タイプ | network.ip_protocol |
| ポート | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
次の表に、スキーマ docker_container_processes と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value(非推奨) additional.fields |
| resident_size | about.labels.key/value(非推奨) additional.fields |
| total_size | about.labels.key/value(非推奨) additional.fields |
| start_time | about.labels.key/value(非推奨) additional.fields |
| 親 | target.process.parent_process.pid |
| pgroup | about.labels.key/value(非推奨) additional.fields |
| threads | about.labels.key/value(非推奨) additional.fields |
| nice | about.labels.key/value(非推奨) additional.fields |
| user | target.user.user_display_name |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| CPU | about.labels.key/value(非推奨) additional.fields |
| メモリ | about.labels.key/value(非推奨) additional.fields |
docker_container_stats
次の表に、スキーマ docker_container_stats と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| pids | about.labels.key/value(非推奨) additional.fields |
| read | about.labels.key/value(非推奨) additional.fields |
| preread | about.labels.key/value(非推奨) additional.fields |
| interval | about.labels.key/value(非推奨) additional.fields |
| disk_read | about.labels.key/value(非推奨) additional.fields |
| disk_write | about.labels.key/value(非推奨) additional.fields |
| num_procs | about.labels.key/value(非推奨) additional.fields |
| cpu_total_usage | about.labels.key/value(非推奨) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value(非推奨) additional.fields |
| cpu_usermode_usage | about.labels.key/value(非推奨) additional.fields |
| system_cpu_usage | about.labels.key/value(非推奨) additional.fields |
| online_cpus | about.labels.key/value(非推奨) additional.fields |
| pre_cpu_total_usage | about.labels.key/value(非推奨) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value(非推奨) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value(非推奨) additional.fields |
| pre_system_cpu_usage | about.labels.key/value(非推奨) additional.fields |
| pre_online_cpus | about.labels.key/value(非推奨) additional.fields |
| memory_usage | about.labels.key/value(非推奨) additional.fields |
| memory_max_usage | about.labels.key/value(非推奨) additional.fields |
| memory_limit | about.labels.key/value(非推奨) additional.fields |
| network_rx_bytes | about.labels.key/value(非推奨) additional.fields |
| network_tx_bytes | about.labels.key/value(非推奨) additional.fields |
docker_info
次の表に、スキーマ docker_info と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.resource.product_object_id |
| コンテナ | about.labels.key/value(非推奨) additional.fields |
| containers_running | about.labels.key/value(非推奨) additional.fields |
| containers_paused | about.labels.key/value(非推奨) additional.fields |
| containers_stopped | about.labels.key/value(非推奨) additional.fields |
| 画像 | about.labels.key/value(非推奨) additional.fields |
| storage_driver | about.labels.key/value(非推奨) additional.fields |
| memory_limit | about.labels.key/value(非推奨) additional.fields |
| swap_limit | about.labels.key/value(非推奨) additional.fields |
| kernel_memory | about.labels.key/value(非推奨) additional.fields |
| cpu_cfs_period | about.labels.key/value(非推奨) additional.fields |
| cpu_cfs_quota | about.labels.key/value(非推奨) additional.fields |
| cpu_shares | about.labels.key/value(非推奨) additional.fields |
| cpu_set | about.labels.key/value(非推奨) additional.fields |
| ipv4_forwarding | about.labels.key/value(非推奨) additional.fields |
| bridge_nf_iptables | about.labels.key/value(非推奨) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value(非推奨) additional.fields |
| oom_kill_disable | about.labels.key/value(非推奨) additional.fields |
| logging_driver | about.labels.key/value(非推奨) additional.fields |
| cgroup_driver | about.labels.key/value(非推奨) additional.fields |
| kernel_version | about.labels.key/value(非推奨) additional.fields |
| os | about.labels.key/value(非推奨) additional.fields |
| os_type | target.platform(enum) |
| アーキテクチャ | about.labels.key/value(非推奨) additional.fields |
| cpus | about.labels.key/value(非推奨) additional.fields |
| メモリ | about.labels.key/value(非推奨) additional.fields |
| http_proxy | about.labels.key/value(非推奨) additional.fields |
| https_proxy | about.labels.key/value(非推奨) additional.fields |
| no_proxy | about.labels.key/value(非推奨) additional.fields |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
次の表に、スキーマ docker_network_labels と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.resource.product_object_id |
| 鍵 | target.resource.attribute.labels.key/value |
| value | about.labels.key/value(非推奨) additional.fields |
docker_networks
次の表に、スキーマ docker_networks と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| id | target.resource.product_object_id |
| name | about.labels.key/value(非推奨) additional.fields |
| driver | about.labels.key/value(非推奨) additional.fields |
| created | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value(非推奨) additional.fields |
| サブネット | about.labels.key/value(非推奨) additional.fields |
| ゲートウェイ | about.labels.key/value(非推奨) additional.fields |
ec2_instance_metadata
次の表に、スキーマ ec2_instance_metadata と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value(非推奨) additional.fields |
| アーキテクチャ | about.labels.key/value(非推奨) additional.fields |
| region | target.location.country_or_region |
| availability_zone | about.labels.key/value(非推奨) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value(非推奨) additional.fields |
| iam_arn | about.labels.key/value(非推奨) additional.fields |
| ami_id | about.labels.key/value(非推奨) additional.fields |
| reservation_id | about.labels.key/value(非推奨) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value(非推奨) additional.fields |
es_process_events
次の表に、スキーマ es_process_events と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| version | target.platform_version |
| seq_num | about.labels.key/value(非推奨) additional.fields |
| global_seq_num | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| パス | target.process.file.full_path |
| 親 | target.process.parent_process.pid |
| original_parent | about.labels.key/value(非推奨) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value(非推奨) additional.fields |
| env | about.labels.key/value(非推奨) additional.fields |
| env_count | about.labels.key/value(非推奨) additional.fields |
| cwd | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value(非推奨) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value(非推奨) additional.fields |
| username | target.user.user_display_name |
| signing_id | about.labels.key/value(非推奨) additional.fields |
| team_id | about.labels.key/value(非推奨) additional.fields |
| cdhash | about.labels.key/value(非推奨) additional.fields |
| platform_binary | about.labels.key/value(非推奨) additional.fields |
| exit_code | about.labels.key/value(非推奨) additional.fields |
| child_pid | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| event_type | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
etc_hosts
次の表に、スキーマ etc_hosts と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| address | target.ip |
| hostnames | about.hostname |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
etc_protocols
次の表に、スキーマ etc_protocol と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | network.ip_protocol |
| 数値 | about.labels.key/value(非推奨) additional.fields |
| エイリアス | about.labels.key/value(非推奨) additional.fields |
| コメント | about.labels.key/value(非推奨) additional.fields |
etc_services
次の表に、スキーマ etc_services と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | target.resource.name |
| ポート | target.port |
| プロトコル | network.ip_protocol |
| aliases | about.labels.key/value(非推奨) additional.fields |
| コメント | about.labels.key/value(非推奨) additional.fields |
あなた宛てに表示されます。
次の表に、スキーマ file と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| ディレクトリ | about.labels.key/value(非推奨) additional.fields |
| filename | target.file.names |
| inode | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| モード | about.labels.key/value(非推奨) additional.fields |
| device | target.asset.asset_id |
| size | target.file.size |
| block_size | about.labels.key/value(非推奨) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value(非推奨) additional.fields |
| btime | about.labels.key/value(非推奨) additional.fields |
| hard_links | about.labels.key/value(非推奨) additional.fields |
| symlink | about.labels.key/value(非推奨) additional.fields |
| type | about.labels.key/value(非推奨) additional.fields |
| attributes | about.labels.key/value(非推奨) additional.fields |
| volume_serial | about.labels.key/value(非推奨) additional.fields |
| file_id | about.labels.key/value(非推奨) additional.fields |
| file_version | about.labels.key/value(非推奨) additional.fields |
| product_version | about.labels.key/value(非推奨) additional.fields |
| bsd_flags | about.labels.key/value(非推奨) additional.fields |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
| mount_namespace_id | about.labels.key/value(非推奨) additional.fields |
file_events
次の表に、スキーマ file_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| オペレーション | about.labels.key/value(非推奨) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| 実行可能 | about.labels.key/value(非推奨) additional.fields |
| partial | about.labels.key/value(非推奨) additional.fields |
| cwd | about.labels.key/value(非推奨) additional.fields |
| パス | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
| auid | about.labels.key/value(非推奨) additional.fields |
| euid | about.labels.key/value(非推奨) additional.fields |
| egid | about.labels.key/value(非推奨) additional.fields |
| fsuid | about.labels.key/value(非推奨) additional.fields |
| fsgid | about.labels.key/value(非推奨) additional.fields |
| suid | about.labels.key/value(非推奨) additional.fields |
| sgid | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
gatekeeper
次の表に、スキーマ gatekeeper と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| assessments_enabled | about.labels.key/value(非推奨) additional.fields |
| dev_id_enabled | about.labels.key/value(非推奨) additional.fields |
| バージョン | target.asset.software.version |
| opaque_version | about.labels.key/value(非推奨) additional.fields |
gatekeeper_approved_apps
次の表に、スキーマ gatekeeper_approved_apps と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| requirement | about.labels.key/value(非推奨) additional.fields |
| ctime | about.labels.key/value(非推奨) additional.fields |
| mtime | target.resource.attribute.last_update_time |
グループ
次の表に、スキーマ groups と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| gid | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| コメント | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
次の表に、スキーマ hardware_events と OS Linux、macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| アクション | security_result.action_details |
| パス | target.asset.attribute.labels.key/value |
| タイプ | target.asset.attribute.labels.key/value |
| driver | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| モデル | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| リビジョン | target.asset.attribute.labels.key/value |
| 時間帯 | metadata.event_timestamp |
| eid | metadata.product_log_id |
ハッシュ
次の表に、スキーマ hash と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| ディレクトリ | about.labels.key/value(非推奨) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
| mount_namespace_id | about.labels.key/value(非推奨) additional.fields |
interface_addresses
次の表に、スキーマ interface_address と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| インターフェース | about.labels.key/value(非推奨) additional.fields |
| address | target.ip |
| mask | about.labels.key/value(非推奨) additional.fields |
| ブロードキャスト | about.labels.key/value(非推奨) additional.fields |
| point_to_point | about.labels.key/value(非推奨) additional.fields |
| type | about.labels.key/value(非推奨) additional.fields |
| friendly_name | about.labels.key/value(非推奨) additional.fields |
interface_details
次の表に、スキーマ interface_details と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| インターフェース | about.labels.key/value(非推奨) additional.fields |
| mac | target.mac |
| type | about.labels.key/value(非推奨) additional.fields |
| mtu | about.labels.key/value(非推奨) additional.fields |
| metric | about.labels.key/value(非推奨) additional.fields |
| flags | about.labels.key/value(非推奨) additional.fields |
| ipackets | about.labels.key/value(非推奨) additional.fields |
| opackets | about.labels.key/value(非推奨) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value(非推奨) additional.fields |
| oerrors | about.labels.key/value(非推奨) additional.fields |
| idrops | about.labels.key/value(非推奨) additional.fields |
| odrops | about.labels.key/value(非推奨) additional.fields |
| collisions | about.labels.key/value(非推奨) additional.fields |
| last_change | about.labels.key/value(非推奨) additional.fields |
| link_speed | about.labels.key/value(非推奨) additional.fields |
| pci_slot | about.labels.key/value(非推奨) additional.fields |
| friendly_name | about.labels.key/value(非推奨) additional.fields |
| 説明 | about.labels.key/value(非推奨) additional.fields |
| manufacturer | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value(非推奨) additional.fields |
| connection_status | about.labels.key/value(非推奨) additional.fields |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| physical_adapter | about.labels.key/value(非推奨) additional.fields |
| 速度 | about.labels.key/value(非推奨) additional.fields |
| サービス | target.application |
| dhcp_enabled | about.labels.key/value(非推奨) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value(非推奨) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value(非推奨) additional.fields |
| dns_host_name | about.labels.key/value(非推奨) additional.fields |
| dns_server_search_order | about.labels.key/value(非推奨) additional.fields |
interface_ipv6
次の表に、スキーマ interface_ipv6 と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| インターフェース | about.labels.key/value(非推奨) additional.fields |
| hop_limit | about.labels.key/value(非推奨) additional.fields |
| forwarding_enabled | about.labels.key/value(非推奨) additional.fields |
| redirect_accept | about.labels.key/value(非推奨) additional.fields |
| rtadv_accept | about.labels.key/value(非推奨) additional.fields |
iptables
次の表に、スキーマ iptables と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| filter_name | about.labels.key/value(非推奨) additional.fields |
| chain | about.labels.key/value(非推奨) additional.fields |
| ポリシー | about.labels.key/value(非推奨) additional.fields |
| ターゲット | about.labels.key/value(非推奨) additional.fields |
| プロトコル | about.labels.key/value(非推奨) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value(非推奨) additional.fields |
| iniface | about.labels.key/value(非推奨) additional.fields |
| iniface_mask | about.labels.key/value(非推奨) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value(非推奨) additional.fields |
| outiface | about.labels.key/value(非推奨) additional.fields |
| outiface_mask | about.labels.key/value(非推奨) additional.fields |
| 一致 | about.labels.key/value(非推奨) additional.fields |
| packets | about.labels.key/value(非推奨) additional.fields |
| バイト | network.received_bytes |
kernel_panics
次の表に、スキーマ kernel_panics と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| registers | about.labels.key/value(非推奨) additional.fields |
| frame_backtrace | about.labels.key/value(非推奨) additional.fields |
| module_backtrace | about.labels.key/value(非推奨) additional.fields |
| 依存関係 | about.labels.key/value(非推奨) additional.fields |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value(非推奨) additional.fields |
| system_model | target.asset.hardware.model |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| last_loaded | about.labels.key/value(非推奨) additional.fields |
| last_unloaded | about.labels.key/value(非推奨) additional.fields |
keychain_acls
次の表に、スキーマ keychain_acls と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| keychain_path | about.labels.key/value(非推奨) additional.fields |
| authorizations | about.labels.key/value(非推奨) additional.fields |
| パス | target.file.full_path |
| 説明 | metadata.description |
| ラベル | about.labels.key/value(非推奨) additional.fields |
known_hosts
次の表に、スキーマ known_hosts と OS Linux、macOS、freebsd のログフィールドと、それに対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| uid | target.user.userid |
| key | about.labels.key/value(非推奨) additional.fields |
| key_file | target.file.full_path |
最後
次のテーブルに、スキーマ last と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ユーザー名 | target.user.user_display_name |
| tty | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| type | about.labels.key/value(非推奨) additional.fields |
| type_name | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| ホスト | target.hostname |
listening_ports
次の表に、スキーマ listening_ports と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| pid | target.process.pid |
| ポート | target.port |
| プロトコル | network.ip_protocol |
| ファミリー | about.labels.key/value(非推奨) additional.fields |
| address | target.ip |
| fd | about.labels.key/value(非推奨) additional.fields |
| socket | about.labels.key/value(非推奨) additional.fields |
| パス | target.process.file.full_path |
| net_namespace | about.labels.key/value(非推奨) additional.fields |
logged_in_users
次の表に、スキーマ log_in_users と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| type | about.labels.key/value(非推奨) additional.fields |
| user | target.user.userid |
| tty | about.labels.key/value(非推奨) additional.fields |
| ホスト | target.hostname |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value(非推奨) additional.fields |
| registry_hive | about.labels.key/value(非推奨) additional.fields |
logon_sessions
次の表に、スキーマ logon_sessions と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| logon_id | about.labels.key/value(非推奨) additional.fields |
| user | target.user.user_display_name |
| logon_domain | about.labels.key/value(非推奨) additional.fields |
| authentication_package | about.labels.key/value(非推奨) additional.fields |
| logon_type | about.labels.key/value(非推奨) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value(非推奨) additional.fields |
| logon_time | about.labels.key/value(非推奨) additional.fields |
| logon_server | about.labels.key/value(非推奨) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value(非推奨) additional.fields |
| logon_script | about.labels.key/value(非推奨) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value(非推奨) additional.fields |
| home_directory_drive | about.labels.key/value(非推奨) additional.fields |
lxd_certificates
次の表に、スキーマ lxd_certificates と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | security_result.detection_fields.key/value |
| タイプ | security_result.detection_fields.key/value |
| Fingerprint | security_result.detection_fields.key/value |
| 証明書 | security_result.detection_fields.key/value |
lxd_networks
次の表に、スキーマ lxd_networks と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | about.labels.key/value(非推奨) additional.fields |
| type | about.labels.key/value(非推奨) additional.fields |
| 管理 | about.labels.key/value(非推奨) additional.fields |
| ipv4_address | about.labels.key/value(非推奨) additional.fields |
| ipv6_address | about.labels.key/value(非推奨) additional.fields |
| used_by | about.labels.key/value(非推奨) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value(非推奨) additional.fields |
| packets_sent | about.labels.key/value(非推奨) additional.fields |
| hwaddr | about.labels.key/value(非推奨) additional.fields |
| state | about.labels.key/value(非推奨) additional.fields |
| mtu | about.labels.key/value(非推奨) additional.fields |
managed_policies
次の表に、スキーマ managed_policies と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ドメイン | target.administrative_domain |
| uuid | about.labels.key/value(非推奨) additional.fields |
| name | about.labels.key/value(非推奨) additional.fields |
| value | about.labels.key/value(非推奨) additional.fields |
| username | target.user.user_display_name |
| 手動 | about.labels.key/value(非推奨) additional.fields |
memory_devices
次の表に、スキーマ memory_devices と OS Linux、macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ハンドル | about.labels.key/value(非推奨) additional.fields |
| array_handle | about.labels.key/value(非推奨) additional.fields |
| form_factor | about.labels.key/value(非推奨) additional.fields |
| total_width | about.labels.key/value(非推奨) additional.fields |
| data_width | about.labels.key/value(非推奨) additional.fields |
| サイズ | about.labels.key/value(非推奨) additional.fields |
| set | about.labels.key/value(非推奨) additional.fields |
| device_locator | about.labels.key/value(非推奨) additional.fields |
| bank_locator | about.labels.key/value(非推奨) additional.fields |
| memory_type | about.labels.key/value(非推奨) additional.fields |
| memory_type_details | about.labels.key/value(非推奨) additional.fields |
| max_speed | about.labels.key/value(非推奨) additional.fields |
| configured_clock_speed | about.labels.key/value(非推奨) additional.fields |
| manufacturer | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value(非推奨) additional.fields |
| min_voltage | about.labels.key/value(非推奨) additional.fields |
| max_voltage | about.labels.key/value(非推奨) additional.fields |
| configured_voltage | about.labels.key/value(非推奨) additional.fields |
ntdomains
次の表に、スキーマ ntdomain と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | about.labels.key/value(非推奨) additional.fields |
| client_site_name | about.labels.key/value(非推奨) additional.fields |
| dc_site_name | about.labels.key/value(非推奨) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value(非推奨) additional.fields |
| domain_name | target.administrative_domain |
| 設定されます。 | about.labels.key/value(非推奨) additional.fields |
ntfs_acl_permissions
次の表に、スキーマ ntfs_acl_permissions と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| type | about.labels.key/value(非推奨) additional.fields |
| プリンシパル | about.labels.key/value(非推奨) additional.fields |
| アクセス | about.labels.key/value(非推奨) additional.fields |
| inherited_from | about.labels.key/value(非推奨) additional.fields |
os_version
次の表に、スキーマ os_version と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | about.labels.key/value(非推奨) additional.fields |
| バージョン | principal.platform_version |
| major | about.labels.key/value(非推奨) additional.fields |
| minor | about.labels.key/value(非推奨) additional.fields |
| patch | principal.platform_patch_level |
| ビルド | about.labels.key/value(非推奨) additional.fields |
| platform | principal.platform |
| platform_like | about.labels.key/value(非推奨) additional.fields |
| codename | about.labels.key/value(非推奨) additional.fields |
| arch | about.labels.key/value(非推奨) additional.fields |
| install_date | about.labels.key/value(非推奨) additional.fields |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
| mount_namespace_id | about.labels.key/value(非推奨) additional.fields |
osquery_events
次の表に、スキーマ osquery_events と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | target.resource.name |
| パブリッシャー | about.label.key/value |
| タイプ | about.label.key/value |
| サブスクリプション | about.label.key/value |
| イベント | about.label.key/value |
| refreshes | about.label.key/value |
| 有効 | about.label.key/value |
patches
次の表に、スキーマ patches と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value(非推奨) additional.fields |
| caption | about.labels.key/value(非推奨) additional.fields |
| 説明 | metadata.description |
| fix_comments | about.labels.key/value(非推奨) additional.fields |
| installed_by | about.labels.key/value(非推奨) additional.fields |
| install_date | about.labels.key/value(非推奨) additional.fields |
| installed_on | about.labels.key/value(非推奨) additional.fields |
pci_devices
次の表に、スキーマ pci_devices と OS Linux、macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| pci_slot | principal.labels.key/value(非推奨) additional.fields |
| pci_class | principal.labels.key/value(非推奨) additional.fields |
| driver | principal.labels.key/value(非推奨) additional.fields |
| vendor | principal.labels.key/value(非推奨) additional.fields |
| vendor_id | principal.labels.key/value(非推奨) additional.fields |
| モデル | principal.asset.hardware.model |
| model_id | principal.labels.key/value(非推奨) additional.fields |
| subsystem | principal.labels.key/value(非推奨) additional.fields |
| express | principal.labels.key/value(非推奨) additional.fields |
| thunderbolt | principal.labels.key/value(非推奨) additional.fields |
| removable | principal.labels.key/value(非推奨) additional.fields |
| pci_class_id | principal.labels.key/value(非推奨) additional.fields |
| pci_subclass_id | principal.labels.key/value(非推奨) additional.fields |
| pci_subclass | principal.labels.key/value(非推奨) additional.fields |
| subsystem_vendor_id | principal.labels.key/value(非推奨) additional.fields |
| subsystem_vendor | principal.labels.key/value(非推奨) additional.fields |
| subsystem_model_id | principal.labels.key/value(非推奨) additional.fields |
| subsystem_model | principal.labels.key/value(非推奨) additional.fields |
パイプ
次の表に、スキーマ pipes と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| pid | target.process.pid |
| name | target.resource.name |
| インスタンス | about.labels.key/value(非推奨) additional.fields |
| max_instances | about.labels.key/value(非推奨) additional.fields |
| flags | about.labels.key/value(非推奨) additional.fields |
powershell_events
次の表に、スキーマ powershell_events と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 時間帯 | metadata.collected_timestamp |
| datetime | about.labels.key/value(非推奨) additional.fields |
| script_block_id | about.labels.key/value(非推奨) additional.fields |
| script_block_count | about.labels.key/value(非推奨) additional.fields |
| script_text | about.labels.key/value(非推奨) additional.fields |
| script_name | about.labels.key/value(非推奨) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value(非推奨) additional.fields |
process_envs
次の表に、スキーマ process_envs と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| pid | target.process.pid |
| 鍵 | about.labels.key |
| 値 | about.labels.value |
process_events
次の表に、スキーマ process_events と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| version | target.platform_version |
| seq_num | about.labels.key/value(非推奨) additional.fields |
| global_seq_num | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| パス | target.file.full_path |
| 親 | target.process.parent_process.pid |
| original_parent | about.labels.key/value(非推奨) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value(非推奨) additional.fields |
| env | about.labels.key/value(非推奨) additional.fields |
| env_count | about.labels.key/value(非推奨) additional.fields |
| cwd | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value(非推奨) additional.fields |
| gid | target.group.product_object_id |
| egid | about.labels.key/value(非推奨) additional.fields |
| username | target.user.user_display_name |
| signing_id | about.labels.key/value(非推奨) additional.fields |
| team_id | about.labels.key/value(非推奨) additional.fields |
| cdhash | about.labels.key/value(非推奨) additional.fields |
| platform_binary | about.labels.key/value(非推奨) additional.fields |
| exit_code | about.labels.key/value(非推奨) additional.fields |
| child_pid | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| event_type | about.labels.key/value(非推奨) additional.fields |
| eid | about.labels.key/value(非推奨) additional.fields |
process_file_events
次の表に、スキーマ process_file_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| オペレーション | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| 実行可能 | about.labels.key/value(非推奨) additional.fields |
| partial | about.labels.key/value(非推奨) additional.fields |
| cwd | about.labels.key/value(非推奨) additional.fields |
| パス | target.file.full_path |
| dest_path | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| auid | about.labels.key/value(非推奨) additional.fields |
| euid | about.labels.key/value(非推奨) additional.fields |
| egid | about.labels.key/value(非推奨) additional.fields |
| fsuid | about.labels.key/value(非推奨) additional.fields |
| fsgid | about.labels.key/value(非推奨) additional.fields |
| suid | about.labels.key/value(非推奨) additional.fields |
| sgid | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
process_open_sockets
次の表に、スキーマ process_open_sockets と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| pid | principal.process.pid |
| fd | about.labels.key/value(非推奨) additional.fields |
| socket | about.labels.key/value(非推奨) additional.fields |
| ファミリー | about.labels.key/value(非推奨) additional.fields |
| プロトコル | about.labels.key/value(非推奨) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| パス | target.file.full_path |
| state | about.labels.key/value(非推奨) additional.fields |
| net_namespace | about.labels.key/value(非推奨) additional.fields |
プロセスの自動化
次の表に、スキーマ processes と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| pid | target.process.pid |
| name | about.labels.key/value(非推奨) additional.fields |
| パス | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value(非推奨) additional.fields |
| root | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| euid | about.labels.key/value(非推奨) additional.fields |
| egid | about.labels.key/value(非推奨) additional.fields |
| suid | about.labels.key/value(非推奨) additional.fields |
| sgid | about.labels.key/value(非推奨) additional.fields |
| on_disk | about.labels.key/value(非推奨) additional.fields |
| wired_size | about.labels.key/value(非推奨) additional.fields |
| resident_size | about.labels.key/value(非推奨) additional.fields |
| total_size | about.labels.key/value(非推奨) additional.fields |
| user_time | about.labels.key/value(非推奨) additional.fields |
| system_time | about.labels.key/value(非推奨) additional.fields |
| disk_bytes_read | about.labels.key/value(非推奨) additional.fields |
| disk_bytes_written | about.labels.key/value(非推奨) additional.fields |
| start_time | about.labels.key/value(非推奨) additional.fields |
| 親 | target.process.parent_process.pid |
| pgroup | about.labels.key/value(非推奨) additional.fields |
| threads | about.labels.key/value(非推奨) additional.fields |
| nice | about.labels.key/value(非推奨) additional.fields |
| elevated_token | about.labels.key/value(非推奨) additional.fields |
| secure_process | about.labels.key/value(非推奨) additional.fields |
| protection_type | about.labels.key/value(非推奨) additional.fields |
| virtual_process | about.labels.key/value(非推奨) additional.fields |
| elapsed_time | about.labels.key/value(非推奨) additional.fields |
| handle_count | about.labels.key/value(非推奨) additional.fields |
| percent_processor_time | about.labels.key/value(非推奨) additional.fields |
| upid | about.labels.key/value(非推奨) additional.fields |
| uppid | about.labels.key/value(非推奨) additional.fields |
| cpu_type | about.labels.key/value(非推奨) additional.fields |
| cpu_subtype | about.labels.key/value(非推奨) additional.fields |
プログラム
次の表に、スキーマ programs と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | target.resource.name |
| version | target.platform_version |
| install_location | about.labels.key/value(非推奨) additional.fields |
| install_source | about.labels.key/value(非推奨) additional.fields |
| 言語 | about.labels.key/value(非推奨) additional.fields |
| パブリッシャー | about.labels.key/value(非推奨) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value(非推奨) additional.fields |
| identifying_number | about.labels.key/value(非推奨) additional.fields |
scheduled_tasks
次の表に、スキーマ scheduled_tasks と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | target.resource.name |
| アクション | security_result.action_details |
| パス | target.file.full_path |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| state | about.labels.key/value(非推奨) additional.fields |
| 隠し | about.labels.key/value(非推奨) additional.fields |
| last_run_time | about.labels.key/value(非推奨) additional.fields |
| next_run_time | about.labels.key/value(非推奨) additional.fields |
| last_run_message | about.labels.key/value(非推奨) additional.fields |
| last_run_code | about.labels.key/value(非推奨) additional.fields |
seccomp_events
次の表に、スキーマ seccomp_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| auid | about.labels.key/value(非推奨) additional.fields |
| uid | target.user.userid |
| gid | target.group.product_object_id |
| ses | about.labels.key/value(非推奨) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value(非推奨) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value(非推奨) additional.fields |
| arch | about.labels.key/value(非推奨) additional.fields |
| syscall | about.labels.key/value(非推奨) additional.fields |
| compat | about.labels.key/value(非推奨) additional.fields |
| ip | about.labels.key/value(非推奨) additional.fields |
| コード | about.labels.key/value(非推奨) additional.fields |
seLinux_events
次の表に、スキーマ seLinux_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| type | about.labels.key/value(非推奨) additional.fields |
| メッセージ | metadata.description |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
シャドウ
次の表に、スキーマ shadow と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| password_status | about.labels.key/value(非推奨) additional.fields |
| hash_alg | about.labels.key/value(非推奨) additional.fields |
| last_change | about.labels.key/value(非推奨) additional.fields |
| min | about.labels.key/value(非推奨) additional.fields |
| max | about.labels.key/value(非推奨) additional.fields |
| 警告 | about.labels.key/value(非推奨) additional.fields |
| 休止中 | about.labels.key/value(非推奨) additional.fields |
| expire | about.labels.key/value(非推奨) additional.fields |
| 旗 | about.labels.key/value(非推奨) additional.fields |
| username | principal.user.user_display_name |
shell_history
次の表に、スキーマ shell_history と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| uid | principal.user.userid |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| コマンド | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
次の表に、スキーマ shimcache と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 必要事項を入力します。 | about.labels.key/value(非推奨) additional.fields |
| パス | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value(非推奨) additional.fields |
signature
次の表に、スキーマ signature と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| hash_resources | about.labels.key/value(非推奨) additional.fields |
| arch | about.labels.key/value(非推奨) additional.fields |
| 署名済み | target.file.pe_file.signature_info.verified |
| identifier | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value(非推奨) additional.fields |
| team_identifier | about.labels.key/value(非推奨) additional.fields |
| authority | about.labels.key/value(非推奨) additional.fields |
sip_config
次の表に、スキーマ sip_config と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| config_flag | about.labels.key/value(非推奨) additional.fields |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| enabled_nvram | about.labels.key/value(非推奨) additional.fields |
socket_events
次の表に、スキーマ socket_events と OS Linux、macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| アクション | security_result.action_details |
| pid | target.process.pid |
| パス | target.process.file.full_path |
| fd | about.labels.key/value(非推奨) additional.fields |
| auid | target.user.userid |
| 設定されます。 | about.labels.key/value(非推奨) additional.fields |
| ファミリー | about.labels.key/value(非推奨) additional.fields |
| プロトコル | about.labels.key/value(非推奨) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
| success | about.labels.key/value(非推奨) additional.fields |
sudoers
次の表に、スキーマ sudoers と OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| source | about.labels.key/value(非推奨) additional.fields |
| ヘッダー | about.labels.key/value(非推奨) additional.fields |
| rule_details | about.labels.key/value(非推奨) additional.fields |
syslog_events
次の表に、スキーマ syslog_events と OS Linux のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| datetime | about.labels.key/value(非推奨) additional.fields |
| ホスト | target.hostname |
| 重要度 | security_result.severity (enum) |
| facility | about.labels.key/value(非推奨) additional.fields |
| タグ | about.labels.key/value(非推奨) additional.fields |
| メッセージ | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
system_info
次の表に、スキーマ system_info と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| hostname | principal.administrative_domain |
| uuid | about.labels.key/value(非推奨) additional.fields |
| cpu_type | about.labels.key/value(非推奨) additional.fields |
| cpu_subtype | about.labels.key/value(非推奨) additional.fields |
| cpu_brand | about.labels.key/value(非推奨) additional.fields |
| cpu_physical_cores | about.labels.key/value(非推奨) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value(非推奨) additional.fields |
| physical_memory | about.labels.key/value(非推奨) additional.fields |
| hardware_vendor | about.labels.key/value(非推奨) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value(非推奨) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value(非推奨) additional.fields |
| board_model | about.labels.key/value(非推奨) additional.fields |
| board_version | about.labels.key/value(非推奨) additional.fields |
| board_serial | about.labels.key/value(非推奨) additional.fields |
| computer_name | about.labels.key/value(非推奨) additional.fields |
| local_hostname | about.labels.key/value(非推奨) additional.fields |
tpm_info
次の表に、スキーマ tpm_info と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| インフラストラクチャ上に | about.labels.key/value(非推奨) additional.fields |
| manufacturer_version | about.labels.key/value(非推奨) additional.fields |
| manufacturer_id | about.labels.key/value(非推奨) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value(非推奨) additional.fields |
| spec_version | about.labels.key/value(非推奨) additional.fields |
usb_devices
次の表に、スキーマ usb_devices と OS Linux、macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| usb_address | about.labels.key/value(非推奨) additional.fields |
| usb_port | about.labels.key/value(非推奨) additional.fields |
| vendor | about.labels.key/value(非推奨) additional.fields |
| vendor_id | about.labels.key/value(非推奨) additional.fields |
| バージョン | about.labels.key/value(非推奨) additional.fields |
| モデル | target.asset.hardware.model |
| model_id | about.labels.key/value(非推奨) additional.fields |
| serial | target.asset.hardware.serial_number |
| クラス | about.labels.key/value(非推奨) additional.fields |
| サブクラス | about.labels.key/value(非推奨) additional.fields |
| プロトコル | about.labels.key/value(非推奨) additional.fields |
| removable | about.labels.key/value(非推奨) additional.fields |
user_events
次の表に、user_events スキーマと OS Linux、macOS、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| message | metadata.description |
| type | about.labels.key/value(非推奨) additional.fields |
| パス | target.file.full_path |
| address | about.labels.key/value(非推奨) additional.fields |
| ターミナル | about.labels.key/value(非推奨) additional.fields |
| 時間 | metadata.collected_timestamp |
| 稼働時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |
user_groups
次の表に、スキーマ user_groups と OS Linux、macOS、Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| uid | principal.user.userid |
| gid | principal.group.product_object_id |
users
次の表に、スキーマ users と OS macOS、Linux、Windows、freebsd のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| uid | principal.user.userid |
| gid | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value(非推奨) additional.fields |
| gid_signed | about.labels.key/value(非推奨) additional.fields |
| username | principal.user.user_display_name |
| 説明 | about.labels.key/value(非推奨) additional.fields |
| ディレクトリ | about.labels.key/value(非推奨) additional.fields |
| shell | about.labels.key/value(非推奨) additional.fields |
| uuid | principal.user.product_object_id |
| type | about.labels.key/value(非推奨) additional.fields |
| is_hidden | about.labels.key/value(非推奨) additional.fields |
| pid_with_namespace | about.labels.key/value(非推奨) additional.fields |
wifi_networks
次の表に、スキーマ wifi_networks と OS macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ssid | target.labels.key/value(非推奨) additional.fields |
| network_name | target.labels.key/value(非推奨) additional.fields |
| security_type | target.labels.key/value(非推奨) additional.fields |
| last_connected | about.labels.key/value(非推奨) additional.fields |
| passpoint | about.labels.key/value(非推奨) additional.fields |
| possibly_hidden | about.labels.key/value(非推奨) additional.fields |
| roaming | about.labels.key/value(非推奨) additional.fields |
| roaming_profile | about.labels.key/value(非推奨) additional.fields |
| captive_portal | about.labels.key/value(非推奨) additional.fields |
| auto_login | target.labels.key/value(非推奨) additional.fields |
| temporarily_disabled | target.labels.key/value(非推奨) additional.fields |
| 無効 | target.labels.key/value(非推奨) additional.fields |
windows_crashes
次の表に、スキーマ windows_crashes と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| datetime | about.labels.key/value(非推奨) additional.fields |
| モジュール | about.labels.key/value(非推奨) additional.fields |
| パス | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value(非推奨) additional.fields |
| バージョン | about.labels.key/value(非推奨) additional.fields |
| process_uptime | about.labels.key/value(非推奨) additional.fields |
| stack_trace | about.labels.key/value(非推奨) additional.fields |
| exception_code | about.labels.key/value(非推奨) additional.fields |
| exception_message | about.labels.key/value(非推奨) additional.fields |
| exception_address | about.labels.key/value(非推奨) additional.fields |
| registers | about.labels.key/value(非推奨) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value(非推奨) additional.fields |
| username | target.user.user_display_name |
| machine_name | about.labels.key/value(非推奨) additional.fields |
| major_version | about.labels.key/value(非推奨) additional.fields |
| minor_version | about.labels.key/value(非推奨) additional.fields |
| build_number | target.platform_version |
| type | about.labels.key/value(非推奨) additional.fields |
| crash_path | about.labels.key/value(非推奨) additional.fields |
windows_eventlog
Windows Event(WINEVTLOG)パーサーは、これらのイベントをマッピングします。詳細については、Microsoft Windows のイベントデータを収集するをご覧ください。
windows_events
Windows Event(WINEVTLOG)パーサーは、これらのイベントをマッピングします。詳細については、Microsoft Windows のイベントデータを収集するをご覧ください。
windows_firewall_rules
次の表に、スキーマ Windows_firewall_rules と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | about.labels.key/value(非推奨) additional.fields |
| app_name | target.application |
| アクション | security_result.action (enum) |
| 有効 | about.labels.key/value(非推奨) additional.fields |
| grouping | about.labels.key/value(非推奨) additional.fields |
| 方向 | network.direction |
| プロトコル | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value(非推奨) additional.fields |
| profile_domain | about.labels.key/value(非推奨) additional.fields |
| profile_private | about.labels.key/value(非推奨) additional.fields |
| profile_public | about.labels.key/value(非推奨) additional.fields |
| service_name | about.labels.key/value(非推奨) additional.fields |
windows_security_center
次の表に、スキーマ Windows_security_center と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| ファイアウォール | security_result.detection_fields.key/value |
| autoupdate | security_result.detection_fields.key/value |
| antivirus | security_result.detection_fields.key/value |
| antispyware | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
次の表に、スキーマ Windows_security_products と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| type | about.labels.key/value(非推奨) additional.fields |
| name | target.resource.name |
| state | about.labels.key/value(非推奨) additional.fields |
| state_timestamp | about.labels.key/value(非推奨) additional.fields |
| remediation_path | about.labels.key/value(非推奨) additional.fields |
| signatures_up_to_date | about.labels.key/value(非推奨) additional.fields |
wmi_bios_info
次の表に、スキーマ wmi_bios_info と OS Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| name | about.labels.key/value(非推奨) additional.fields |
| value | about.labels.key/value(非推奨) additional.fields |
yara
次の表に、スキーマ yara と OS Linux、macOS、freebsd、Windows のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| パス | target.file.full_path |
| 一致 | about.labels.key/value(非推奨) additional.fields |
| count | about.labels.key/value(非推奨) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| strings | about.labels.key/value(非推奨) additional.fields |
| tags | about.labels.key/value(非推奨) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
次の表に、スキーマ yara_events と OS Linux、macOS のログフィールドと、対応する UDM マッピングを示します。
| ログフィールド | UDM マッピング |
|---|---|
| metadata.event_type は SETTING_MODIFICATION にマッピングされます | |
| target_path | target.file.full_path |
| category | about.labels.key/value(非推奨) additional.fields |
| action | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| 一致 | about.labels.key/value(非推奨) additional.fields |
| count | about.labels.key/value(非推奨) additional.fields |
| strings | about.labels.key/value(非推奨) additional.fields |
| tags | about.labels.key/value(非推奨) additional.fields |
| 時間 | about.labels.key/value(非推奨) additional.fields |
| eid | metadata.product_log_id |