Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log LTM di F5 BIG-IP

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di F5 BIG-IP Local Traffic Manager (LTM) utilizzando un forwarder di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione F5_BIGIP_LTM.

Configura LTM di F5 BIG-IP

Accedi a SSH utilizzando le credenziali di root.
Accedi a Traffic Management Shell (tmsh) con il seguente comando:

tmsh
Invia i messaggi di log filtrati ai server syslog remoti con il seguente comando:

modify /sys syslog remote-servers none
Rimuovi l'istruzione remote-servers e aggiungi un'istruzione syslog include che definisce una regola di filtro e il server remoto.
Per definire il filtro syslog richiesto che fa riferimento al server remoto, utilizza il seguente comando:

edit /sys syslog all-properties

Sostituisci il comando include none con il seguente filtro e aggiungi l'indirizzo IP e il numero di porta.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

Sostituisci IP_ADDRESS con l'indirizzo IP del forwarder di Google Security Operations e port con il numero di porta alto.

Per uscire dall'editor di testo, premi Esc e inserisci wq!.
Salva la configurazione con il seguente comando:

save /sys config

Configura il forwarder di Google Security Operations e syslog per importare i log LTM di F5 BIG-IP

Vai a Impostazioni SIEM > Inoltratori.
Fai clic su Aggiungi nuovo mittente.
Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
Digita un nome nel campo Nome del raccoglitore.
Seleziona F5 BIGIP LTM come Tipo di log.
Seleziona Syslog come Tipo di collettore.
Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo.
- Indirizzo: specifica l'indirizzo IP del forwarder di Google Security Operations.
- Porta: specifica la porta.
Fai clic su Invia.

Per ulteriori informazioni sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations.

Per informazioni sui requisiti per ciascun tipo di inoltro, consulta Configurazione degli inoltratori per tipo.

Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser normalizza i log di F5 BIG-IP Local Traffic Manager (LTM), gestendo sia i formati chiave-valore sia syslog. Estrae campi come indirizzi IP, nomi utente, azioni e descrizioni, mappandoli all'UDM e classifica gli eventi in base ai contenuti dei log e ai campi estratti, tra cui connessioni di rete, accessi/logout utente ed eventi generici.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappato direttamente dalla chiave `Access_Profile` nelle coppie chiave/valore analizzate.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mappato direttamente dalla chiave `Client_IP` nelle coppie chiave/valore analizzate. Utilizzato anche per compilare l'IP della risorsa principale. Imposta `has_principal` su true.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Mappato direttamente dalla chiave `Country` nelle coppie chiave/valore analizzate.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappato direttamente dalla chiave `Listener` nelle coppie chiave/valore analizzate.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	Mappato direttamente dalla chiave `Session_ID` nelle coppie chiave/valore analizzate.
`State`	`event.idm.read_only_udm.principal.location.state`	Mappato direttamente dalla chiave `State` nelle coppie chiave/valore analizzate.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	Mappato direttamente dalla chiave `Virtual_IP` nelle coppie chiave/valore analizzate. Utilizzato anche per compilare l'IP dell'asset target. Imposta `has_target` su true.
`about`	`event.idm.read_only_udm.about`	Completati da vari campi come `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade` e `device` se sono presenti nel log non elaborato e sono stati analizzati correttamente.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	Mappato direttamente per i log di processo `scriptd`.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	Mappatura diretta.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `blade` nelle coppie chiave/valore analizzate.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	Mappato direttamente, convertito in numero intero non firmato.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	Mappato direttamente, convertito in numero intero non firmato.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `client` nelle coppie chiave/valore analizzate.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mappatura diretta. Utilizzato anche per compilare l'IP della risorsa principale. Imposta `has_principal` su true.
`client_port`	`event.idm.read_only_udm.principal.port`	Mappato direttamente, convertito in numero intero.
`collection_time`	`event.timestamp`	Il timestamp della voce di log viene utilizzato come timestamp dell'evento.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	Mappatura diretta per i log di processo `CROND` e per alcuni log `logger`.
`data`	`message`	Il messaggio del log non elaborato. Viene analizzato e utilizzato per compilare vari campi UDM.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappatura diretta.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappatura diretta.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	Mappato direttamente per alcuni tipi di log o utilizzato come parte della descrizione del risultato di sicurezza.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappatura diretta. Viene utilizzato anche per compilare il nome host della risorsa principale. Imposta `has_principal` su true.
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Mappatura diretta. Utilizzato anche per compilare l'IP dell'asset target. Imposta `has_principal` su true.
`dest_port`	`event.idm.read_only_udm.target.port`	Mappatura diretta.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	Analizzati per estrarre il nome host o l'IP. Utilizzato per compilare il nome host principale o il nome host intermedio.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappato direttamente dalla chiave `errdefs_msgno` nelle coppie chiave/valore analizzate.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappatura diretta.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappatura diretta.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	Non mappato nell'esempio fornito, ma verrà mappato al continente, se disponibile.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	Mappatura diretta.
`geoState`	`event.idm.read_only_udm.principal.location.state`	Mappatura diretta.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	Mappatura diretta.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	Mappatura diretta. Inoltre, è stato convertito in user agent analizzato.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Analizzati per estrarre gli IP e unirli all'IP principale e all'IP della risorsa principale.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Mappatura diretta. Utilizzato anche per compilare il nome host dell'asset di destinazione. Imposta `has_target` su true.
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	Mappatura diretta. Utilizzato anche per compilare il nome host dell'asset di destinazione. Imposta `has_target` su true.
`http_method`	`event.idm.read_only_udm.network.http.method`	Mappatura diretta. Imposta `event_type` su `NETWORK_HTTP`, se presente.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mappatura diretta. Utilizzato anche per compilare l'IP della risorsa principale. Imposta `has_principal` su true.
`kv_msg`	Vari campi	Analizzati come coppie chiave-valore e utilizzati per compilare vari campi UDM.
`Level`	`event.idm.read_only_udm.security_result.severity`	Mappato alla gravità se il campo `severity` non è presente. Convertiti in valori di gravità UDM (ad es. "Informazioni" -> "INFORMATIVE").
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	Analizzata ulteriormente per estrarre `request_uri` o `description`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mappato direttamente dal campo `log_type` del log non elaborato.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	Mappatura alla gravità. Convertiti in valori di gravità UDM (ad es. "warning" -> "MEDIUM", "err" -> "HIGH"). Utilizzato anche per la logica di avviso/evento significativo.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mappatura diretta. Utilizzato anche per compilare l'IP della risorsa principale. Imposta `has_principal` su true.
`method`	`event.idm.read_only_udm.network.http.method`	Mappatura diretta. Imposta `event_type` su `NETWORK_HTTP`.
`method_req`	`event.idm.read_only_udm.network.http.method`	Mappatura diretta.
`msg1`	`event.idm.read_only_udm.security_result.description`	Viene utilizzata come descrizione del risultato di sicurezza se non viene analizzata ulteriormente.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `node` nelle coppie chiave/valore analizzate.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappatura diretta.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	Mappatura diretta.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `pool_member` nelle coppie chiave/valore analizzate.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Mappatura diretta. Viene utilizzato anche per compilare il nome host della risorsa principale. Imposta `has_principal` su true.
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	Mappatura diretta. Viene utilizzato anche per compilare l'IP dell'asset principale e l'IP dell'osservatore. Imposta `has_principal` su true.
`principalPort`	`event.idm.read_only_udm.principal.port`	Mappato direttamente, convertito in numero intero.
`process`	`event.idm.read_only_udm.target.application`	Mappatura diretta.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Mappatura diretta.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	Mappato al protocollo IP dopo la conversione del numero di protocollo in nome di protocollo utilizzando una ricerca.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `query` nelle coppie chiave/valore analizzate.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`reason`	`event.idm.read_only_udm.security_result.description`	Mappato direttamente per i log di elaborazione di `apmd` con loglevel di avviso o errore.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappatura diretta.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	Mappatura diretta.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	Utilizzato per determinare il protocollo dell'applicazione (HTTP) e mappato come etichetta.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`request_uri`	`event.idm.read_only_udm.target.url`	Mappatura diretta.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	Mappato direttamente, convertito in numero intero.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	Mappato direttamente, convertito in numero intero.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Mappatura diretta.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	Mappatura all'azione. "Continua" viene convertito in "ALLOW". Gli altri valori vengono convertiti in "BLOCK".
`security_result`	`event.idm.read_only_udm.security_result`	Unito all'oggetto security_result.
`session_id`	`event.idm.read_only_udm.network.session_id`	Mappatura diretta.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mappatura alla gravità. Convertiti in valori di gravità UDM (ad es. "Errore" -> "ERROR", "Informazioni" -> "INFORMATIONAL").
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	Mappatura diretta.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `snat` nelle coppie chiave/valore analizzate.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	Mappatura diretta.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	Mappato direttamente, convertito in numero intero.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	Mappatura diretta. Utilizzato anche per compilare l'IP della risorsa principale.
`src_port`	`event.idm.read_only_udm.principal.port`	Mappatura diretta.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	Mappatura diretta.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	Mappatura diretta.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	Mappatura diretta.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`status`	`event.idm.read_only_udm.security_result.summary`	Mappato direttamente per i log di processo `scriptd`.
`summary`	`event.idm.read_only_udm.security_result.summary`	Mappato direttamente per alcuni tipi di log.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	Analizzati per estrarre le informazioni di sistema e mapparle come etichette alla risorsa principale.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	Mappato direttamente per i log di processo `scriptd`.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	Mappatura diretta. Utilizzato anche per compilare l'IP dell'asset target. Imposta `has_target` su true.
`targetPort`	`event.idm.read_only_udm.target.port`	Mappato direttamente, convertito in numero intero.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	Mappatura diretta.
`timestamp`	`event.timestamp`	Mappatura diretta dopo l'analisi e il rebasing.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	Mappatura diretta.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	Mappatura diretta. Se il valore è HTTP/1.1, viene mappato "HTTP".
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	Mappatura diretta. Viene utilizzato anche per compilare il nome host della risorsa principale. Imposta `has_principal` su true.
`uri`	`event.idm.read_only_udm.target.url`	Mappatura diretta.
`uri_path`	`event.idm.read_only_udm.target.url`	Mappato direttamente, concatenato con `uri_query`, se presente.
`url`	`event.idm.read_only_udm.principal.url`	Mappatura diretta.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	Mappatura diretta.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mappatura diretta.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	Mappatura diretta. Utilizzato anche per compilare l'ID utente di destinazione. Imposta `has_principal_user` su true.
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Hardcoded su "F5".
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	Mappatura diretta.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `vs` nelle coppie chiave/valore analizzate.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	Mappato direttamente dalla chiave `vs_name` nelle coppie chiave/valore analizzate.
N/D	`event.idm.read_only_udm.metadata.event_type`	Determinato dalla logica del parser in base alla presenza di determinati campi. Il valore predefinito è `GENERIC_EVENT`. Può essere `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE` o `NETWORK_HTTP`.
N/D	`event.idm.read_only_udm.metadata.product_name`	Hardcoded su "BIG-IP Local Traffic Manager (LTM)".
N/D	`event.idm.read_only_udm.metadata.vendor_name`	Hardcoded su "F5".
N/D	`event.idm.read_only_udm.metadata.event_timestamp`	Copiato dal `event.timestamp` di primo livello.
N/D	`event.idm.read_only_udm.security_result.severity`	Determinato dalla logica del parser in base ai campi `severity` o `Level`, se presenti. Il valore predefinito è `UNKNOWN_SEVERITY`. Può essere `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH` o `CRITICAL`.
N/D	`event.idm.read_only_udm.security_result.summary`	Imposta su "Errore di autenticazione" per log `apmd` specifici.
N/D	`event.idm.read_only_udm.extensions.auth.type`	Imposta su "VPN" per log `apmd` e `sshd` specifici. In caso contrario, imposta `AUTHTYPE_UNSPECIFIED` per gli eventi `USER_LOGIN` e `USER_LOGOUT`.
N/D	`event.idm.read_only_udm.network.ip_protocol`	Se `proto` non è presente, il valore predefinito è "TCP". In caso contrario, viene determinata dal campo `proto`.
N/D	`event.idm.is_alert`, `event.idm.is_significant`	Impostato su `true` se `loglevel` è "alert", "crit", "emer".

Modifiche

2024-05-06

È stato aggiunto il supporto per la gestione di un nuovo formato di log KV.
"tlsproto" è stato mappato a "network.tls.version_protocol".
"method_req" è stato mappato a "network.http.method".
"path" è stato mappato a "target.url".
"url" è stato mappato a "principal.url".
"client_ip" è stato mappato a "principal.ip" e "principal.asset.ip".
"device" è stato mappato a "principal.hostname" e "principal.asset.hostname".
"host" è stato mappato a "target.hostname" e "target.asset.hostname".
"vip" è stato mappato a "target.ip" e "target.asset.ip".
"client_port" è stato mappato a "principal.port".
"snat_ip" è stato mappato a "principal.nat_ip".
"snat_port" è stato mappato a "principal.nat_port".
Sono stati mappati "vs_name", "path", "query", "node", "pool_member", "vs", "device", "blade", "client" e "snat" a "about.resource.attribute.labels".

2024-03-23

È stato aggiunto gsub per rimuovere i caratteri indesiderati per analizzare i log.
"support_id", "query_string" e "request_status" sono stati mappati a "additional.fields".
"uri" è stato mappato a "target.url".

2024-02-23

miglioramento
È stato aggiunto un blocco "kv" per recuperare i dati in formato chiave-valore.
È stato aggiunto il supporto per i log in formato CSV.
È stato aggiunto un pattern Grok per estrarre i campi chiave-valore.
"dest_ip" è stato mappato a "target_ip".
"dest_port" è stato mappato a "targetPort"
"src_port" è stato mappato a "principalPort"
"dest_port" è stato mappato a "targetPort"
"ip_client" e "manage_ip_addr" sono stati mappati a "principal.ip" e "principal.asset.ip"
"target_ip" e "Virtual_IP" sono stati mappati a "target.ip" e "target.asset.ip"
"severity" è stato mappato a "security_result.severity"
"session_id" è stato mappato a "network.session_id"
"network" è stato mappato a "network.http.method"
"violations", "policy_name" e "req_status" sono stati mappati a "security_result.detection_fields".
"protocol" è stato mappato a "network.application_protocol"
Ho mappato "staged_threat_campaign_names","staged_sig_ids","threat_campaign_names","staged_sig_names","captcha_result","sig_set_names","staged_sig_set_names", "sig_ids", "sig_names","resp_code" e "false_positive" a "additional.fields".

2024-01-24

bug-fix
È stata modificata la mappatura di "uri_pathuri_query" e "header.Referer".
È stata modificata la mappatura di "uri_pathuri_query" in "target.url" da "network.http.referral_url".
È stata modificata la mappatura di "header.Referer" in "network.http.referral_url" da "security_result.about.resource.attribute.labels".

2023-12-14

miglioramento
È stato aggiunto il supporto per i log in formato JSON.

2023-08-28

miglioramento
È stato aggiunto un blocco "kv" per recuperare i dati in formato chiave-valore.
"process" è stato mappato a "target.application".
"Paese" è stato mappato a "principal.location.country_or_region".
"Stato" è stato mappato a "principal.location.state".
"Client_IP" è stato mappato a "principal.ip".
"Virtual_IP" è stato mappato a "target.ip".
"Session_ID" è stato mappato a "network.session_id".
"errdefs_msgno", "partition_name", "Listener", "Access_Profile" sono stati mappati a "additional.fields".

2023-07-18

Log analizzati in cui "process" è "apmd" e "loglevel" è "notice".

2023-05-18

Miglioramento: sono stati aggiunti pattern Grok per analizzare i log contenenti "tmm".
Sono stati analizzati i log contenenti "anacron", "run-parts" e "syslog-ng".

2023-05-09

bug-fix
Il nome host che viene mappato a intermediary.hostname mappato a principal.hostname per i log di sistema.

2023-03-14

miglioramento
"intermediary.hostname" mappato per event_type "USER_LOGIN" e "NETWORK_CONNECTION".
I log che vengono analizzati come "GENERIC_EVENT" se è presente "principal.user.userid" vengono mappati a "USER_UNCATEGORIZED".
I log che vengono analizzati come "GENERIC_EVENT" se è presente "principal.ip" vengono mappati a "STATUS_UPDATE".

2023-02-23

miglioramento
Pattern Grok aggiornato per i tipi di processo "httpd" e "tmm".

2023-02-06

miglioramento
Pattern Grok aggiornato per il tipo di processo "tmm".
È stato rimosso il codice ridondante "target.hostname" e impostato come generico/globale.
è stata modificata la mappatura di "target.hostname" in "intermediary.hostname".

2023-02-02

miglioramento
Pattern Grok aggiornato per il tipo di processo "tmm".
è stata modificata la mappatura di "target.hostname" in "intermediary.hostname".
Modifica di metadata.event_type da "GENERIC_EVENT" quando è presente principal.ip a "STATUS_UPDATE".

2022-06-21

bug-fix
Pattern Grok aggiornato per il tipo di processo "tmm"

2022-05-02

bug-fix
Sono state rimosse le mappature duplicate per "event.idm.read_only_udm.security_result".
Analisi dei log non riuscita durante il test dell'API di convalida.