Mengumpulkan log LTM F5 BIG-IP

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Local Traffic Manager (LTM) F5 BIG-IP menggunakan forwarder Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer F5_BIGIP_LTM.

Mengonfigurasi F5 BIG-IP LTM

  1. Login ke SSH menggunakan kredensial root.

  2. Login ke Traffic Management Shell (tmsh) dengan perintah berikut:

    tmsh

  3. Kirim pesan log yang difilter ke server syslog jarak jauh dengan perintah berikut:

    modify /sys syslog remote-servers none

  4. Hapus pernyataan server jarak jauh, lalu tambahkan pernyataan include syslog yang menentukan aturan filter dan server jarak jauh.

  5. Untuk menentukan filter syslog yang diperlukan yang mereferensikan server jarak jauh, gunakan perintah berikut:

    edit /sys syslog all-properties

  6. Ganti perintah include none dengan filter berikut dan tambahkan alamat IP dan nomor port.

    include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

    Ganti IP_ADDRESS dengan alamat IP penerusan Google Security Operations dan port dengan nomor port tinggi.

  7. Untuk keluar dari editor teks, tekan Esc, lalu masukkan wq!.

  8. Simpan konfigurasi dengan perintah berikut:

    save /sys config

Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log LTM F5 BIG-IP

  1. Buka Setelan SIEM > Penerima.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
  4. Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  5. Di kolom Nama kolektor, ketik nama.
  6. Pilih F5 BIGIP LTM sebagai Jenis log.
  7. Pilih Syslog sebagai Jenis kolektor.
  8. Konfigurasikan parameter input wajib berikut:
    • Protocol: menentukan protokol.
    • Address: tentukan alamat IP forwarder Google Security Operations.
    • Port: menentukan port.
  9. Klik Kirim.

Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini menormalisasi log Local Traffic Manager (LTM) F5 BIG-IP, yang menangani format nilai kunci dan syslog. Alat ini mengekstrak kolom seperti alamat IP, nama pengguna, tindakan, dan deskripsi, memetakan kolom tersebut ke UDM, serta mengategorikan peristiwa berdasarkan konten log dan kolom yang diekstrak, termasuk koneksi jaringan, login/logout pengguna, dan peristiwa umum.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
Access_Profile event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kunci Access_Profile dalam pasangan nilai kunci yang diuraikan.
Client_IP event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Dipetakan langsung dari kunci Client_IP dalam pasangan nilai kunci yang diuraikan. Juga digunakan untuk mengisi IP aset utama. Menetapkan has_principal ke true.
Country event.idm.read_only_udm.principal.location.country_or_region Dipetakan langsung dari kunci Country dalam pasangan nilai kunci yang diuraikan.
Listener event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kunci Listener dalam pasangan nilai kunci yang diuraikan.
Session_ID event.idm.read_only_udm.network.session_id Dipetakan langsung dari kunci Session_ID dalam pasangan nilai kunci yang diuraikan.
State event.idm.read_only_udm.principal.location.state Dipetakan langsung dari kunci State dalam pasangan nilai kunci yang diuraikan.
Virtual_IP event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[] Dipetakan langsung dari kunci Virtual_IP dalam pasangan nilai kunci yang diuraikan. Juga digunakan untuk mengisi IP aset target. Menetapkan has_target ke true.
about event.idm.read_only_udm.about Diisi dari berbagai kolom seperti snat, vs_name, path, query, node, pool_member, vs, client, blade, dan device jika ada dalam log mentah dan berhasil diuraikan.
action_data event.idm.read_only_udm.target.process.command_line Dipetakan langsung untuk log proses scriptd.
attack_type event.idm.read_only_udm.security_result.category_details[] Dipetakan secara langsung.
blade event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci blade dalam pasangan nilai kunci yang diuraikan.
bytes_in event.idm.read_only_udm.network.received_bytes Dipetakan secara langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan.
bytes_out event.idm.read_only_udm.network.sent_bytes Dipetakan secara langsung, dikonversi menjadi bilangan bulat tanpa tanda tangan.
captcha_result event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
client event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci client dalam pasangan nilai kunci yang diuraikan.
client_ip event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama. Menetapkan has_principal ke true.
client_port event.idm.read_only_udm.principal.port Dipetakan secara langsung, dikonversi menjadi bilangan bulat.
collection_time event.timestamp Stempel waktu Entri Log digunakan sebagai stempel waktu peristiwa.
command_line event.idm.read_only_udm.target.process.command_line Dipetakan langsung untuk log proses CROND dan beberapa log logger.
data message Pesan log mentah. Data ini diuraikan dan digunakan untuk mengisi berbagai kolom UDM.
dgl_count event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value Dipetakan secara langsung.
dgl_value event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value Dipetakan secara langsung.
description event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.security_result.description Dipetakan langsung untuk beberapa jenis log, atau digunakan sebagai bagian dari deskripsi hasil keamanan.
device event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset utama. Menetapkan has_principal ke true.
dest_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset target. Menetapkan has_principal ke true.
dest_port event.idm.read_only_udm.target.port Dipetakan secara langsung.
dvc event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname Diurai untuk mengekstrak nama host atau IP. Digunakan untuk mengisi nama host utama atau nama host perantara.
errdefs_msgno event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kunci errdefs_msgno dalam pasangan nilai kunci yang diuraikan.
error_reason event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value Dipetakan secara langsung.
false_positive event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
function_id event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value Dipetakan secara langsung.
geoContinent event.idm.read_only_udm.principal.location.continent Tidak dipetakan dalam contoh yang diberikan, tetapi akan dipetakan ke benua jika tersedia.
geoCountry event.idm.read_only_udm.principal.location.country_or_region Dipetakan secara langsung.
geoState event.idm.read_only_udm.principal.location.state Dipetakan secara langsung.
header.Referer event.idm.read_only_udm.network.http.referral_url Dipetakan secara langsung.
header.User-Agent event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent Dipetakan secara langsung. Juga dikonversi menjadi agen pengguna yang diuraikan.
header.X-Forwarded-For event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Diurai untuk mengekstrak IP dan menggabungkannya ke dalam IP utama dan IP aset utama.
host event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset target. Menetapkan has_target ke true.
http_host event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset target. Menetapkan has_target ke true.
http_method event.idm.read_only_udm.network.http.method Dipetakan secara langsung. Menetapkan event_type ke NETWORK_HTTP jika ada.
ip_client event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama. Menetapkan has_principal ke true.
kv_msg Berbagai kolom Diurai sebagai pasangan nilai kunci dan digunakan untuk mengisi berbagai kolom UDM.
Level event.idm.read_only_udm.security_result.severity Dipetakan ke tingkat keparahan jika kolom severity tidak ada. Dikonversi menjadi nilai keparahan UDM (misalnya, "Info" -> "INFORMATIONAL").
Listener event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
log_message event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description Diurai lebih lanjut untuk mengekstrak request_uri atau description.
log_type event.idm.read_only_udm.metadata.log_type Dipetakan langsung dari kolom log_type log mentah.
loglevel event.idm.read_only_udm.security_result.severity Dipetakan ke tingkat keparahan. Dikonversi menjadi nilai keparahan UDM (misalnya, "warning" -> "MEDIUM", "err" -> "HIGH"). Juga digunakan untuk logika peristiwa penting/pemberitahuan.
manage_ip_addr event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama. Menetapkan has_principal ke true.
method event.idm.read_only_udm.network.http.method Dipetakan secara langsung. Menetapkan event_type ke NETWORK_HTTP.
method_req event.idm.read_only_udm.network.http.method Dipetakan secara langsung.
msg1 event.idm.read_only_udm.security_result.description Digunakan sebagai deskripsi hasil keamanan jika tidak diuraikan lebih lanjut.
node event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci node dalam pasangan nilai kunci yang diuraikan.
partition_name event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
path event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan secara langsung.
policy_name event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan secara langsung.
pool_member event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci pool_member dalam pasangan nilai kunci yang diuraikan.
principalHost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset utama. Menetapkan has_principal ke true.
principalIp event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama dan IP observer. Menetapkan has_principal ke true.
principalPort event.idm.read_only_udm.principal.port Dipetakan secara langsung, dikonversi menjadi bilangan bulat.
process event.idm.read_only_udm.target.application Dipetakan secara langsung.
product_event_type event.idm.read_only_udm.metadata.product_event_type Dipetakan secara langsung.
proto event.idm.read_only_udm.network.ip_protocol Dipetakan ke protokol IP setelah mengonversi nomor protokol ke nama protokol menggunakan pencarian.
query event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci query dalam pasangan nilai kunci yang diuraikan.
query_string event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
reason event.idm.read_only_udm.security_result.description Dipetakan langsung untuk log proses apmd dengan loglevel peringatan atau error.
reason_code event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value Dipetakan secara langsung.
req_status event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan secara langsung.
request event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol Digunakan untuk menentukan protokol aplikasi (HTTP) dan dipetakan sebagai label.
request_status event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
request_uri event.idm.read_only_udm.target.url Dipetakan secara langsung.
resp_code event.idm.read_only_udm.network.http.response_code Dipetakan secara langsung, dikonversi menjadi bilangan bulat.
response_code event.idm.read_only_udm.network.http.response_code Dipetakan secara langsung, dikonversi menjadi bilangan bulat.
rule_name event.idm.read_only_udm.security_result.rule_name Dipetakan secara langsung.
sec_action event.idm.read_only_udm.security_result.action[] Dipetakan ke tindakan. "Lanjutkan" dikonversi menjadi "Izinkan". Nilai lainnya dikonversi menjadi "BLOCK".
security_result event.idm.read_only_udm.security_result Digabung ke dalam objek security_result.
session_id event.idm.read_only_udm.network.session_id Dipetakan secara langsung.
severity event.idm.read_only_udm.security_result.severity Dipetakan ke tingkat keparahan. Dikonversi menjadi nilai keparahan UDM (misalnya, "Error" -> "ERROR", "Informasional" -> "INFORMATIONAL").
sig_ids event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
sig_names event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
sni_host event.idm.read_only_udm.network.tls.client.server_name Dipetakan secara langsung.
snat event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci snat dalam pasangan nilai kunci yang diuraikan.
snat_ip event.idm.read_only_udm.principal.nat_ip[] Dipetakan secara langsung.
snat_port event.idm.read_only_udm.principal.nat_port Dipetakan secara langsung, dikonversi menjadi bilangan bulat.
src_ip event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset utama.
src_port event.idm.read_only_udm.principal.port Dipetakan secara langsung.
ssl_cipher event.idm.read_only_udm.network.tls.cipher Dipetakan secara langsung.
ssl_function event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value Dipetakan secara langsung.
ssl_version event.idm.read_only_udm.network.tls.version_protocol Dipetakan secara langsung.
staged_sig_ids event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
staged_sig_names event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
staged_sig_set_names event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
staged_threat_campaign_names event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
status event.idm.read_only_udm.security_result.summary Dipetakan langsung untuk log proses scriptd.
summary event.idm.read_only_udm.security_result.summary Dipetakan langsung untuk beberapa jenis log.
support_id event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
systems event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value Diurai untuk mengekstrak informasi sistem dan memetakan sebagai label ke aset utama.
targetFile event.idm.read_only_udm.target.file.full_path Dipetakan langsung untuk log proses scriptd.
targetIp event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan secara langsung. Juga digunakan untuk mengisi IP aset target. Menetapkan has_target ke true.
targetPort event.idm.read_only_udm.target.port Dipetakan secara langsung, dikonversi menjadi bilangan bulat.
threat_campaign_names event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan secara langsung.
timestamp event.timestamp Dipetakan langsung setelah penguraian dan rebasing.
tls_version event.idm.read_only_udm.network.tls.version Dipetakan secara langsung.
tlsproto event.idm.read_only_udm.network.tls.version_protocol Dipetakan secara langsung. Jika nilainya adalah HTTP/1.1, "HTTP" akan dipetakan.
unit_host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan secara langsung. Juga digunakan untuk mengisi nama host aset utama. Menetapkan has_principal ke true.
uri event.idm.read_only_udm.target.url Dipetakan secara langsung.
uri_path event.idm.read_only_udm.target.url Dipetakan langsung, digabungkan dengan uri_query jika ada.
url event.idm.read_only_udm.principal.url Dipetakan secara langsung.
url_string event.idm.read_only_udm.network.http.referral_url Dipetakan secara langsung.
user_agent event.idm.read_only_udm.network.http.user_agent Dipetakan secara langsung.
userId event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid Dipetakan secara langsung. Juga digunakan untuk mengisi ID pengguna target. Menetapkan has_principal_user ke true.
vendor_name event.idm.read_only_udm.metadata.vendor_name Di-hardcode ke "F5".
violations event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan secara langsung.
vs event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci vs dalam pasangan nilai kunci yang diuraikan.
vs_name event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value Dipetakan langsung dari kunci vs_name dalam pasangan nilai kunci yang diuraikan.
T/A event.idm.read_only_udm.metadata.event_type Ditentukan oleh logika parser berdasarkan keberadaan kolom tertentu. Nilai defaultnya adalah GENERIC_EVENT. Dapat berupa NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, STATUS_UPDATE, atau NETWORK_HTTP.
T/A event.idm.read_only_udm.metadata.product_name Di-hardcode ke "BIG-IP Local Traffic Manager (LTM)".
T/A event.idm.read_only_udm.metadata.vendor_name Di-hardcode ke "F5".
T/A event.idm.read_only_udm.metadata.event_timestamp Disalin dari event.timestamp tingkat teratas.
T/A event.idm.read_only_udm.security_result.severity Ditentukan oleh logika parser berdasarkan kolom severity atau Level, jika ada. Setelan defaultnya adalah UNKNOWN_SEVERITY. Dapat berupa INFORMATIONAL, LOW, MEDIUM, HIGH, atau CRITICAL.
T/A event.idm.read_only_udm.security_result.summary Tetapkan ke "Kegagalan autentikasi" untuk log apmd tertentu.
T/A event.idm.read_only_udm.extensions.auth.type Tetapkan ke "VPN" untuk log apmd dan sshd tertentu. Jika tidak, tetapkan ke AUTHTYPE_UNSPECIFIED untuk peristiwa USER_LOGIN dan USER_LOGOUT.
T/A event.idm.read_only_udm.network.ip_protocol Setelan defaultnya adalah "TCP" jika proto tidak ada. Jika tidak, ditentukan oleh kolom proto.
T/A event.idm.is_alert, event.idm.is_significant Tetapkan ke true jika loglevel adalah "alert", "crit", "emer".

Perubahan

2024-05-06

  • Menambahkan dukungan untuk menangani format log KV baru.
  • Memetakan "tlsproto" ke "network.tls.version_protocol".
  • Memetakan "method_req" ke "network.http.method".
  • Memetakan "path" ke "target.url".
  • Memetakan "url" ke "principal.url".
  • Memetakan "client_ip" ke "principal.ip" dan "principal.asset.ip".
  • Memetakan "device" ke "principal.hostname" dan "principal.asset.hostname".
  • Memetakan "host" ke "target.hostname" dan "target.asset.hostname".
  • Memetakan "vip" ke "target.ip" dan "target.asset.ip".
  • Memetakan "client_port" ke "principal.port".
  • Memetakan "snat_ip" ke "principal.nat_ip".
  • Memetakan "snat_port" ke "principal.nat_port".
  • Memetakan "vs_name", "path", "query", "node", "pool_member", "vs", "device", "blade", "client", dan "snat" ke "about.resource.attribute.labels".

2024-03-23

  • Menambahkan gsub untuk menghapus karakter yang tidak diinginkan guna mengurai log.
  • Memetakan "support_id", "query_string", dan "request_status" ke "additional.fields".
  • Memetakan "uri" ke "target.url".

2024-02-23

  • peningkatan
  • Menambahkan blok "kv" untuk mengambil data format nilai kunci.
  • Menambahkan dukungan untuk log format CSV.
  • Menambahkan pola Grok untuk mengekstrak kolom nilai kunci.
  • Memetakan "dest_ip" ke "target_ip".
  • Memetakan "dest_port" ke "targetPort"
  • Memetakan "src_port" ke "principalPort"
  • Memetakan "dest_port" ke "targetPort"
  • Memetakan "ip_client" dan "manage_ip_addr" ke "principal.ip" dan "principal.asset.ip"
  • Memetakan "target_ip" dan "Virtual_IP ke "target.ip" dan "target.asset.ip"
  • Memetakan "severity" ke "security_result.severity"
  • Memetakan "session_id" ke "network.session_id"
  • Memetakan "network" ke "network.http.method"
  • Memetakan "violations", "policy_name", dan "req_status" ke "security_result.detection_fields".
  • Memetakan "protocol" ke "network.application_protocol"
  • Memetakan "staged_threat_campaign_names","staged_sig_ids","threat_campaign_names","staged_sig_names","captcha_result","sig_set_names","staged_sig_set_names", "sig_ids", "sig_names","resp_code" dan "false_positive" ke "additional.fields".

2024-01-24

  • perbaikan bug
  • Mengubah pemetaan "uri_pathuri_query" dan "header.Referer".
  • Mengubah pemetaan "uri_pathuri_query" menjadi "target.url" dari "network.http.referral_url".
  • Mengubah pemetaan "header.Referer" menjadi "network.http.referral_url" dari "security_result.about.resource.attribute.labels".

2023-12-14

  • peningkatan
  • Menambahkan dukungan untuk log format JSON.

2023-08-28

  • peningkatan
  • Menambahkan blok "kv" untuk mengambil data format nilai kunci.
  • Memetakan "process" ke "target.application".
  • Memetakan "Negara" ke "principal.location.country_or_region".
  • Memetakan "State" ke "principal.location.state".
  • Memetakan "Client_IP" ke "principal.ip".
  • Memetakan "Virtual_IP" ke "target.ip".
  • Memetakan "Session_ID" ke "network.session_id".
  • Memetakan "errdefs_msgno", "partition_name", "Listener", "Access_Profile" ke "additional.fields".

2023-07-18

  • Log yang diuraikan dengan "process" adalah "apmd" dan "loglevel" adalah "notice".

2023-05-18

  • Peningkatan - Menambahkan pola Grok untuk mengurai log yang berisi "tmm".
  • Mengurai log yang berisi "anacron", "run-parts", dan "syslog-ng".

2023-05-09

  • perbaikan bug
  • Nama host yang dipetakan ke intermediary.hostname yang dipetakan ke principal.hostname untuk Syslog.

2023-03-14

  • peningkatan
  • Memetakan "intermediary.hostname" untuk event_type "USER_LOGIN" dan "NETWORK_CONNECTION".
  • Log yang diuraikan sebagai "GENERIC_EVENT" jika "principal.user.userid" ada, lalu dipetakan ke "USER_UNCATEGORIZED".
  • Log yang diuraikan sebagai "GENERIC_EVENT" jika "principal.ip" ada, lalu dipetakan ke "STATUS_UPDATE".

2023-02-23

  • peningkatan
  • Memperbarui pola Grok untuk jenis proses "httpd" dan "tmm".

2023-02-06

  • peningkatan
  • Memperbarui pola grok untuk jenis proses "tmm".
  • Menghapus kode redundan "target.hostname" dan membuatnya sebagai generik/global.
  • mengubah pemetaan "target.hostname" menjadi "intermediary.hostname".

2023-02-02

  • peningkatan
  • memperbarui pola grok untuk jenis proses "tmm".
  • mengubah pemetaan "target.hostname" menjadi "intermediary.hostname".
  • Mengubah metadata.event_type dari "GENERIC_EVENT" jika principal.ip ada menjadi "STATUS_UPDATE".

2022-06-21

  • perbaikan bug
  • memperbarui pola grok untuk jenis proses "tmm"

2022-05-02

  • perbaikan bug
  • Menghapus pemetaan duplikat untuk "event.idm.read_only_udm.security_result".
  • Mengurai log yang gagal selama pengujian Validation API.