Collecter les journaux LTM F5 BIG-IP

Compatible avec:

Ce document explique comment collecter les journaux du Local Traffic Manager (LTM) F5 BIG-IP à l'aide d'un forwarder Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion F5_BIGIP_LTM.

Configurer le LTM F5 BIG-IP

  1. Connectez-vous à SSH à l'aide des identifiants racine.

  2. Connectez-vous à Traffic Management Shell (tmsh) à l'aide de la commande suivante:

    tmsh

  3. Envoyez des messages de journal filtrés à des serveurs syslog distants à l'aide de la commande suivante:

    modify /sys syslog remote-servers none

  4. Supprimez l'instruction remote-servers, puis ajoutez une instruction include syslog qui définit une règle de filtrage et le serveur distant.

  5. Pour définir le filtre syslog requis qui fait référence au serveur distant, utilisez la commande suivante:

    edit /sys syslog all-properties

  6. Remplacez la commande include none par le filtre suivant, puis ajoutez l'adresse IP et le numéro de port.

    include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

    Remplacez IP_ADDRESS par l'adresse IP du transfert Google Security Operations et port par le numéro de port élevé.

  7. Pour quitter l'éditeur de texte, appuyez sur Échap, puis saisissez wq!.

  8. Enregistrez la configuration à l'aide de la commande suivante:

    save /sys config

Configurer le transfert Google Security Operations et le syslog pour ingérer les journaux LTM F5 BIG-IP

  1. Accédez à Paramètres du SIEM > Transferts.
  2. Cliquez sur Ajouter un forwarder.
  3. Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
  4. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom.
  6. Sélectionnez F5 BIGIP LTM comme Type de journal.
  7. Sélectionnez Syslog comme type de collecteur.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole: spécifiez le protocole.
    • Adresse: spécifiez l'adresse IP du transfert Google Security Operations.
    • Port: spécifiez le port.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google Security Operations, consultez la documentation sur les transferts Google Security Operations. Pour en savoir plus sur les exigences de chaque type de forwarder, consultez la section Configuration des forwarders par type.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur normalise les journaux du Local Traffic Manager (LTM) F5 BIG-IP, en traitant à la fois les formats clé-valeur et syslog. Il extrait des champs tels que les adresses IP, les noms d'utilisateur, les actions et les descriptions, en les mappant sur la UDM, et catégorise les événements en fonction du contenu des journaux et des champs extraits, y compris les connexions réseau, les connexions/déconnexions des utilisateurs et les événements génériques.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
Access_Profile event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir de la clé Access_Profile dans les paires clé-valeur analysées.
Client_IP event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Mappé directement à partir de la clé Client_IP dans les paires clé-valeur analysées. Sert également à renseigner l'adresse IP de l'élément principal. Définit has_principal sur "true".
Country event.idm.read_only_udm.principal.location.country_or_region Mappé directement à partir de la clé Country dans les paires clé-valeur analysées.
Listener event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir de la clé Listener dans les paires clé-valeur analysées.
Session_ID event.idm.read_only_udm.network.session_id Mappé directement à partir de la clé Session_ID dans les paires clé-valeur analysées.
State event.idm.read_only_udm.principal.location.state Mappé directement à partir de la clé State dans les paires clé-valeur analysées.
Virtual_IP event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[] Mappé directement à partir de la clé Virtual_IP dans les paires clé-valeur analysées. Permet également de renseigner l'adresse IP de l'asset cible. Définit has_target sur "true".
about event.idm.read_only_udm.about Renseigné à partir de divers champs tels que snat, vs_name, path, query, node, pool_member, vs, client, blade et device s'ils sont présents dans le journal brut et analysés avec succès.
action_data event.idm.read_only_udm.target.process.command_line Mappé directement pour les journaux de processus scriptd.
attack_type event.idm.read_only_udm.security_result.category_details[] Mappage direct.
blade event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé blade dans les paires clé-valeur analysées.
bytes_in event.idm.read_only_udm.network.received_bytes Mappé directement, converti en entier non signé.
bytes_out event.idm.read_only_udm.network.sent_bytes Mappé directement, converti en entier non signé.
captcha_result event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
client event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé client dans les paires clé-valeur analysées.
client_ip event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Mappage direct. Sert également à renseigner l'adresse IP de l'élément principal. Définit has_principal sur "true".
client_port event.idm.read_only_udm.principal.port Mappé directement, converti en entier.
collection_time event.timestamp Le code temporel de l'entrée de journal est utilisé comme code temporel de l'événement.
command_line event.idm.read_only_udm.target.process.command_line Mappage direct pour les journaux de processus CROND et certains journaux logger.
data message Message de journal brut. Il est analysé et utilisé pour renseigner différents champs UDM.
dgl_count event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappage direct.
dgl_value event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappage direct.
description event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.security_result.description Mappé directement pour certains types de journaux ou utilisé dans la description des résultats de sécurité.
device event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappage direct. Sert également à renseigner le nom d'hôte de l'élément principal. Définit has_principal sur "true".
dest_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappage direct. Permet également de renseigner l'adresse IP de l'asset cible. Définit has_principal sur "true".
dest_port event.idm.read_only_udm.target.port Mappage direct.
dvc event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname Analyse pour extraire le nom d'hôte ou l'adresse IP. Permet de renseigner le nom d'hôte principal ou intermédiaire.
errdefs_msgno event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir de la clé errdefs_msgno dans les paires clé-valeur analysées.
error_reason event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappage direct.
false_positive event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
function_id event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappage direct.
geoContinent event.idm.read_only_udm.principal.location.continent Non mappé dans l'exemple fourni, mais mappé sur le continent si disponible.
geoCountry event.idm.read_only_udm.principal.location.country_or_region Mappage direct.
geoState event.idm.read_only_udm.principal.location.state Mappage direct.
header.Referer event.idm.read_only_udm.network.http.referral_url Mappage direct.
header.User-Agent event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent Mappage direct. Converti également en user-agent analysé.
header.X-Forwarded-For event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Analyse pour extraire les adresses IP et les fusionner dans l'adresse IP principale et l'adresse IP de l'asset principal.
host event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Mappage direct. Permet également de renseigner le nom d'hôte de l'élément cible. Définit has_target sur "true".
http_host event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Mappage direct. Permet également de renseigner le nom d'hôte de l'élément cible. Définit has_target sur "true".
http_method event.idm.read_only_udm.network.http.method Mappage direct. Définit event_type sur NETWORK_HTTP, le cas échéant.
ip_client event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Mappage direct. Sert également à renseigner l'adresse IP de l'élément principal. Définit has_principal sur "true".
kv_msg Divers champs Analysés en tant que paires clé-valeur et utilisés pour renseigner divers champs UDM.
Level event.idm.read_only_udm.security_result.severity Mappé à la gravité si le champ severity n'est pas présent. Convertis en valeurs de gravité UDM (par exemple, "Info" -> "INFORMATIONAL").
Listener event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
log_message event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description Analyse plus approfondie pour extraire request_uri ou description.
log_type event.idm.read_only_udm.metadata.log_type Mappé directement à partir du champ log_type du journal brut.
loglevel event.idm.read_only_udm.security_result.severity Mappé sur la gravité. Convertis en valeurs de gravité UDM (par exemple, "warning" -> "MEDIUM", "err" -> "HIGH"). Utilisé également pour la logique d'alerte/d'événement important.
manage_ip_addr event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Mappage direct. Sert également à renseigner l'adresse IP de l'élément principal. Définit has_principal sur "true".
method event.idm.read_only_udm.network.http.method Mappage direct. Définit event_type sur NETWORK_HTTP.
method_req event.idm.read_only_udm.network.http.method Mappage direct.
msg1 event.idm.read_only_udm.security_result.description Utilisé comme description du résultat de sécurité s'il n'est pas analysé plus en détail.
node event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé node dans les paires clé-valeur analysées.
partition_name event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
path event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappage direct.
policy_name event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value Mappage direct.
pool_member event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé pool_member dans les paires clé-valeur analysées.
principalHost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappage direct. Sert également à renseigner le nom d'hôte de l'élément principal. Définit has_principal sur "true".
principalIp event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip Mappage direct. Utilisé également pour renseigner l'adresse IP de l'élément principal et l'adresse IP de l'observateur. Définit has_principal sur "true".
principalPort event.idm.read_only_udm.principal.port Mappé directement, converti en entier.
process event.idm.read_only_udm.target.application Mappage direct.
product_event_type event.idm.read_only_udm.metadata.product_event_type Mappage direct.
proto event.idm.read_only_udm.network.ip_protocol Mappé sur le protocole IP après avoir converti le numéro de protocole en nom de protocole à l'aide d'une recherche.
query event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé query dans les paires clé-valeur analysées.
query_string event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
reason event.idm.read_only_udm.security_result.description Mappage direct pour les journaux de processus apmd avec un niveau de journalisation d'avertissement ou d'erreur.
reason_code event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappage direct.
req_status event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value Mappage direct.
request event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol Permet de déterminer le protocole d'application (HTTP) et est mappé en tant qu'étiquette.
request_status event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
request_uri event.idm.read_only_udm.target.url Mappage direct.
resp_code event.idm.read_only_udm.network.http.response_code Mappé directement, converti en entier.
response_code event.idm.read_only_udm.network.http.response_code Mappé directement, converti en entier.
rule_name event.idm.read_only_udm.security_result.rule_name Mappage direct.
sec_action event.idm.read_only_udm.security_result.action[] Mappé sur une action. "Continue" est converti en "ALLOW". Les autres valeurs sont converties en "BLOCK".
security_result event.idm.read_only_udm.security_result Fusionné dans l'objet security_result.
session_id event.idm.read_only_udm.network.session_id Mappage direct.
severity event.idm.read_only_udm.security_result.severity Mappé sur la gravité. Convertis en valeurs de gravité UDM (par exemple, "Error" -> "ERROR", "Informational" -> "INFORMATIONAL").
sig_ids event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
sig_names event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
sni_host event.idm.read_only_udm.network.tls.client.server_name Mappage direct.
snat event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé snat dans les paires clé-valeur analysées.
snat_ip event.idm.read_only_udm.principal.nat_ip[] Mappage direct.
snat_port event.idm.read_only_udm.principal.nat_port Mappé directement, converti en entier.
src_ip event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Mappage direct. Sert également à renseigner l'adresse IP de l'élément principal.
src_port event.idm.read_only_udm.principal.port Mappage direct.
ssl_cipher event.idm.read_only_udm.network.tls.cipher Mappage direct.
ssl_function event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value Mappage direct.
ssl_version event.idm.read_only_udm.network.tls.version_protocol Mappage direct.
staged_sig_ids event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
staged_sig_names event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
staged_sig_set_names event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
staged_threat_campaign_names event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
status event.idm.read_only_udm.security_result.summary Mappé directement pour les journaux de processus scriptd.
summary event.idm.read_only_udm.security_result.summary Mappage direct pour certains types de journaux.
support_id event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
systems event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value Analyse pour extraire les informations système et les mapper en tant qu'étiquettes sur l'élément principal.
targetFile event.idm.read_only_udm.target.file.full_path Mappé directement pour les journaux de processus scriptd.
targetIp event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappage direct. Permet également de renseigner l'adresse IP de l'asset cible. Définit has_target sur "true".
targetPort event.idm.read_only_udm.target.port Mappé directement, converti en entier.
threat_campaign_names event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value Mappage direct.
timestamp event.timestamp Mappage direct après l'analyse et le rebasage.
tls_version event.idm.read_only_udm.network.tls.version Mappage direct.
tlsproto event.idm.read_only_udm.network.tls.version_protocol Mappage direct. Si la valeur est HTTP/1.1, "HTTP" est mappé.
unit_host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappage direct. Sert également à renseigner le nom d'hôte de l'élément principal. Définit has_principal sur "true".
uri event.idm.read_only_udm.target.url Mappage direct.
uri_path event.idm.read_only_udm.target.url Mappé directement, concaténé avec uri_query, le cas échéant.
url event.idm.read_only_udm.principal.url Mappage direct.
url_string event.idm.read_only_udm.network.http.referral_url Mappage direct.
user_agent event.idm.read_only_udm.network.http.user_agent Mappage direct.
userId event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid Mappage direct. Sert également à renseigner l'ID utilisateur cible. Définit has_principal_user sur "true".
vendor_name event.idm.read_only_udm.metadata.vendor_name Code codé en dur sur "F5".
violations event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value Mappage direct.
vs event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé vs dans les paires clé-valeur analysées.
vs_name event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value Mappé directement à partir de la clé vs_name dans les paires clé-valeur analysées.
N/A event.idm.read_only_udm.metadata.event_type Déterminé par la logique de l'analyseur en fonction de la présence de certains champs. La valeur par défaut est GENERIC_EVENT. Il peut s'agir de NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, STATUS_UPDATE ou NETWORK_HTTP.
N/A event.idm.read_only_udm.metadata.product_name Code dur en "Local Traffic Manager (LTM) BIG-IP".
N/A event.idm.read_only_udm.metadata.vendor_name Code codé en dur sur "F5".
N/A event.idm.read_only_udm.metadata.event_timestamp Copié à partir de l'event.timestamp de premier niveau.
N/A event.idm.read_only_udm.security_result.severity Déterminé par la logique de l'analyseur en fonction des champs severity ou Level, le cas échéant. La valeur par défaut est UNKNOWN_SEVERITY. Il peut s'agir de INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
N/A event.idm.read_only_udm.security_result.summary Définissez la valeur sur "Échec de l'authentification" pour des journaux apmd spécifiques.
N/A event.idm.read_only_udm.extensions.auth.type Définissez la valeur sur "VPN" pour des journaux apmd et sshd spécifiques. Sinon, définissez la valeur sur AUTHTYPE_UNSPECIFIED pour les événements USER_LOGIN et USER_LOGOUT.
N/A event.idm.read_only_udm.network.ip_protocol La valeur par défaut est "TCP" si proto n'est pas présent. Sinon, déterminé par le champ proto.
N/A event.idm.is_alert, event.idm.is_significant Définissez la valeur sur true si loglevel est "alert", "crit" ou "emer".

Modifications

2024-05-06

  • Prise en charge d'un nouveau format de journaux KV.
  • Mappage de "tlsproto" sur "network.tls.version_protocol".
  • Mappage de "method_req" sur "network.http.method".
  • Mappage de "path" sur "target.url".
  • Mappage de "url" sur "principal.url".
  • "client_ip" a été mappé sur "principal.ip" et "principal.asset.ip".
  • Mappage de "device" sur "principal.hostname" et "principal.asset.hostname".
  • Mappage de "host" sur "target.hostname" et "target.asset.hostname".
  • Mappage de "vip" sur "target.ip" et "target.asset.ip".
  • "client_port" a été mappé sur "principal.port".
  • Mappage de "snat_ip" sur "principal.nat_ip".
  • "snat_port" a été mappé sur "principal.nat_port".
  • "vs_name", "path", "query", "node", "pool_member", "vs", "device", "blade", "client" et "snat" ont été mappés sur "about.resource.attribute.labels".

2024-03-23

  • Ajout de gsub pour supprimer les caractères indésirables afin d'analyser les journaux.
  • Mappage de "support_id", "query_string" et "request_status" sur "additional.fields".
  • Mappage de "uri" sur "target.url".

2024-02-23

  • amélioration
  • Ajout d'un bloc "kv" pour récupérer des données au format clé-valeur.
  • Prise en charge des journaux au format CSV.
  • Ajout d'un modèle Grok pour extraire les champs clé-valeur.
  • Mappage de "dest_ip" sur "target_ip".
  • Mappage de "dest_port" sur "targetPort"
  • Mappage de "src_port" sur "principalPort"
  • Mappage de "dest_port" sur "targetPort"
  • Mappage de "ip_client" et "manage_ip_addr" sur "principal.ip" et "principal.asset.ip"
  • "target_ip" et "Virtual_IP" mappés sur "target.ip" et "target.asset.ip"
  • Mappage de "severity" sur "security_result.severity"
  • "session_id" mappé sur "network.session_id"
  • Mappage de "network" sur "network.http.method"
  • Mappage de "violations", "policy_name" et "req_status" sur "security_result.detection_fields."
  • "protocol" mappé sur "network.application_protocol"
  • "staged_threat_campaign_names","staged_sig_ids","threat_campaign_names","staged_sig_names","captcha_result","sig_set_names","staged_sig_set_names", "sig_ids", "sig_names","resp_code" et "false_positive" ont été mappés sur "additional.fields".

2024-01-24

  • bug-fix
  • Modification du mappage de "uri_pathuri_query" et "header.Referer".
  • Modification du mappage de "uri_pathuri_query" vers "target.url" à partir de "network.http.referral_url".
  • Modification du mappage de "header.Referer" vers "network.http.referral_url" à partir de "security_result.about.resource.attribute.labels".

2023-12-14

  • amélioration
  • Prise en charge des journaux au format JSON.

2023-08-28

  • amélioration
  • Ajout d'un bloc "kv" pour récupérer des données au format clé-valeur.
  • Mappage de "process" sur "target.application".
  • "Pays" a été mappé sur "principal.location.country_or_region".
  • Mappage de "État" sur "principal.location.state".
  • "Client_IP" a été mappé sur "principal.ip".
  • "Virtual_IP" a été mappé sur "target.ip".
  • Mappage de "Session_ID" sur "network.session_id".
  • Mappage de "errdefs_msgno", "partition_name", "Listener" et "Access_Profile" sur "additional.fields".

2023-07-18

  • Journaux analysés où "process" est "apmd" et "loglevel" est "notice".

2023-05-18

  • Amélioration : ajout de modèles Grok pour analyser les journaux contenant "tmm".
  • Analyse des journaux contenant "anacron", "run-parts" et "syslog-ng".

2023-05-09

  • bug-fix
  • Nom d'hôte mappé sur intermediary.hostname mappé sur principal.hostname pour les journaux système.

2023-03-14

  • amélioration
  • "intermediary.hostname" mappé pour les valeurs "USER_LOGIN" et "NETWORK_CONNECTION" de l'attribut event_type.
  • Les journaux analysés en tant que "GENERIC_EVENT" si "principal.user.userid" est présent sont ensuite mappés sur "USER_UNCATEGORIZED".
  • Les journaux analysés en tant que "GENERIC_EVENT" si "principal.ip" est présent sont ensuite mappés sur "STATUS_UPDATE".

2023-02-23

  • amélioration
  • Mise à jour du modèle Grok pour les types de processus "httpd" et "tmm".

2023-02-06

  • amélioration
  • Mise à jour du modèle grok pour le type de processus "tmm".
  • Suppression du code redondant "target.hostname" et création d'un code générique/global.
  • Modification de la mise en correspondance de "target.hostname" en "intermediary.hostname".

2023-02-02

  • amélioration
  • Modèle grok mis à jour pour le type de processus "tmm".
  • Modification de la mise en correspondance de "target.hostname" en "intermediary.hostname".
  • Modification de metadata.event_type de "GENERIC_EVENT" lorsque principal.ip est présent en "STATUS_UPDATE".

2022-06-21

  • bug-fix
  • Mise à jour du modèle Grok pour le type de processus "tmm"

2022-05-02

  • bug-fix
  • Suppression des mappages en double pour "event.idm.read_only_udm.security_result".
  • Analyse des journaux qui échouent lors des tests de l'API de validation.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.