このページは Cloud Translation API によって翻訳されました。

F5 BIG-IP LTM ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して F5 BIG-IP Local Traffic Manager（LTM）のログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル F5_BIGIP_LTM が付加されたパーサーに適用されます。

F5 BIG-IP LTM を構成する

root 認証情報を使用して SSH にログインします。
次のコマンドを使用して、Traffic Management Shell（tmsh）にログインします。

tmsh
次のコマンドを使用して、フィルタされたログメッセージをリモート syslog サーバーに送信します。

modify /sys syslog remote-servers none
リモートサーバーステートメントを削除し、フィルタルールとリモートサーバーを定義する syslog include ステートメントを追加します。
リモートサーバーを参照する必要な Syslog フィルタを定義するには、次のコマンドを使用します。

edit /sys syslog all-properties

include none コマンドを次のフィルタに置き換え、IP アドレスとポート番号を追加します。

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

IP_ADDRESS は Google Security Operations 転送元の IP アドレスに、port は大きなポート番号に置き換えます。

テキストエディタを終了するには、Esc キーを押してから、「wq!」と入力します。
次のコマンドを使用して構成を保存します。

save /sys config

F5 BIG-IP LTM ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する

[SIEM 設定] > [転送元] に移動します。
[新しいフォワーダーの追加] をクリックします。
[フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
[送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
[コレクタ名] フィールドに名前を入力します。
[Log type] で [F5 BIGIP LTM] を選択します。
[Collector type] として [Syslog] を選択します。
次の必須入力パラメータを構成します。
- プロトコル: プロトコルを指定します。
- Address: Google Security Operations フォワーダーの IP アドレスを指定します。
- ポート: ポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダタイプの要件については、タイプ別のフォワーダの構成をご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、F5 BIG-IP Local Traffic Manager（LTM）ログを正規化し、キーバリュー形式と syslog 形式の両方を処理します。IP アドレス、ユーザー名、アクション、説明などのフィールドを抽出し、UDM にマッピングします。また、ログの内容と抽出されたフィールド（ネットワーク接続、ユーザーのログイン/ログアウト、一般的なイベントなど）に基づいてイベントを分類します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	解析された Key-Value ペアの `Access_Profile` キーから直接マッピングされます。
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	解析された Key-Value ペアの `Client_IP` キーから直接マッピングされます。プリンシパルアセットの IP の入力にも使用されます。`has_principal` を true に設定します。
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	解析された Key-Value ペアの `Country` キーから直接マッピングされます。
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	解析された Key-Value ペアの `Listener` キーから直接マッピングされます。
`Session_ID`	`event.idm.read_only_udm.network.session_id`	解析された Key-Value ペアの `Session_ID` キーから直接マッピングされます。
`State`	`event.idm.read_only_udm.principal.location.state`	解析された Key-Value ペアの `State` キーから直接マッピングされます。
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	解析された Key-Value ペアの `Virtual_IP` キーから直接マッピングされます。ターゲットアセットの IP の入力にも使用されます。`has_target` を true に設定します。
`about`	`event.idm.read_only_udm.about`	`snat`、`vs_name`、`path`、`query`、`node`、`pool_member`、`vs`、`client`、`blade`、`device` などのさまざまなフィールドから入力されます。これらのフィールドが未加工ログに存在し、正常に解析されている必要があります。
`action_data`	`event.idm.read_only_udm.target.process.command_line`	`scriptd` プロセスログに直接マッピングされます。
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	直接マッピング。
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `blade` キーから直接マッピングされます。
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	直接マッピングされ、符号なし整数に変換されます。
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	直接マッピングされ、符号なし整数に変換されます。
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `client` キーから直接マッピングされます。
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	直接マッピング。プリンシパルアセットの IP の入力にも使用されます。`has_principal` を true に設定します。
`client_port`	`event.idm.read_only_udm.principal.port`	直接マッピングされ、整数に変換されます。
`collection_time`	`event.timestamp`	イベントのタイムスタンプとして、ログエントリのタイムスタンプが使用されます。
`command_line`	`event.idm.read_only_udm.target.process.command_line`	`CROND` プロセスログと一部の `logger` ログに直接マッピングされます。
`data`	`message`	未加工のログメッセージ。これは解析され、さまざまな UDM フィールドへの入力に使用されます。
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接マッピング。
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接マッピング。
`description`	`event.idm.read_only_udm.metadata.description`、`event.idm.read_only_udm.security_result.description`	一部のログの種類では直接マッピングされます。また、セキュリティの結果の説明の一部として使用されます。
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	直接マッピング。プリンシパルアセットのホスト名の入力にも使用されます。`has_principal` を true に設定します。
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	直接マッピング。ターゲットアセットの IP の入力にも使用されます。`has_principal` を true に設定します。
`dest_port`	`event.idm.read_only_udm.target.port`	直接マッピング。
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	解析され、ホスト名または IP が抽出されます。プリンシパルホスト名または中間ホスト名の入力に使用されます。
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	解析された Key-Value ペアの `errdefs_msgno` キーから直接マッピングされます。
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接マッピング。
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接マッピング。
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	指定された例ではマッピングされていませんが、利用可能な場合は大陸にマッピングされます。
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	直接マッピング。
`geoState`	`event.idm.read_only_udm.principal.location.state`	直接マッピング。
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	直接マッピング。
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	直接マッピング。解析されたユーザーエージェントにも変換されます。
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	解析され、IP が抽出されて、プリンシパル IP とプリンシパルアセット IP に統合されます。
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	直接マッピング。ターゲットアセットのホスト名の入力にも使用されます。`has_target` を true に設定します。
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	直接マッピング。ターゲットアセットのホスト名の入力にも使用されます。`has_target` を true に設定します。
`http_method`	`event.idm.read_only_udm.network.http.method`	直接マッピング。`event_type` が存在する場合は、`event_type` を `NETWORK_HTTP` に設定します。
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	直接マッピング。プリンシパルアセットの IP の入力にも使用されます。`has_principal` を true に設定します。
`kv_msg`	さまざまなフィールド	Key-Value ペアとして解析され、さまざまな UDM フィールドへの入力に使用されます。
`Level`	`event.idm.read_only_udm.security_result.severity`	`severity` フィールドが存在しない場合、重大度にマッピングされます。UDM の重大度値に変換されます（例: [情報] -> [情報] に設定します）。
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	さらに解析して `request_uri` または `description` を抽出します。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	未加工ログの `log_type` フィールドから直接マッピングされます。
`loglevel`	`event.idm.read_only_udm.security_result.severity`	重大度にマッピングされます。UDM の重大度値に変換されます（例: 「warning」->「MEDIUM」、「err」->「HIGH」）。アラート/重要なイベントのロジックにも使用されます。
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	直接マッピング。プリンシパルアセットの IP の入力にも使用されます。`has_principal` を true に設定します。
`method`	`event.idm.read_only_udm.network.http.method`	直接マッピング。`event_type` を `NETWORK_HTTP` に設定します。
`method_req`	`event.idm.read_only_udm.network.http.method`	直接マッピング。
`msg1`	`event.idm.read_only_udm.security_result.description`	詳細に解析されない場合は、セキュリティ結果の説明として使用されます。
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `node` キーから直接マッピングされます。
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	直接マッピング。
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	直接マッピング。
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `pool_member` キーから直接マッピングされます。
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	直接マッピング。プリンシパルアセットのホスト名の入力にも使用されます。`has_principal` を true に設定します。
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	直接マッピング。プリンシパルアセットの IP とオブザーバーの IP の入力にも使用されます。`has_principal` を true に設定します。
`principalPort`	`event.idm.read_only_udm.principal.port`	直接マッピングされ、整数に変換されます。
`process`	`event.idm.read_only_udm.target.application`	直接マッピング。
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	直接マッピング。
`proto`	`event.idm.read_only_udm.network.ip_protocol`	ルックアップを使用してプロトコル番号をプロトコル名に変換した後、IP プロトコルにマッピングされます。
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `query` キーから直接マッピングされます。
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`reason`	`event.idm.read_only_udm.security_result.description`	警告またはエラーのログレベルの `apmd` プロセスログに直接マッピングされます。
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接マッピング。
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	直接マッピング。
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	アプリケーションプロトコル（HTTP）の特定に使用され、ラベルとしてマッピングされます。
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`request_uri`	`event.idm.read_only_udm.target.url`	直接マッピング。
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	直接マッピングされ、整数に変換されます。
`response_code`	`event.idm.read_only_udm.network.http.response_code`	直接マッピングされ、整数に変換されます。
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	直接マッピング。
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	アクションにマッピングされています。[続行] は [許可] に変換されます。その他の値は「BLOCK」に変換されます。
`security_result`	`event.idm.read_only_udm.security_result`	security_result オブジェクトに統合されました。
`session_id`	`event.idm.read_only_udm.network.session_id`	直接マッピング。
`severity`	`event.idm.read_only_udm.security_result.severity`	重大度にマッピングされます。UDM の重大度値に変換されます（例: 「Error」->「ERROR」、「Informational」->「INFORMATIONAL」）。
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	直接マッピング。
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `snat` キーから直接マッピングされます。
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	直接マッピング。
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	直接マッピングされ、整数に変換されます。
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	直接マッピング。プリンシパルアセットの IP の入力にも使用されます。
`src_port`	`event.idm.read_only_udm.principal.port`	直接マッピング。
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	直接マッピング。
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	直接マッピング。
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	直接マッピング。
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`status`	`event.idm.read_only_udm.security_result.summary`	`scriptd` プロセスログに直接マッピングされます。
`summary`	`event.idm.read_only_udm.security_result.summary`	一部のログタイプでは直接マッピングされます。
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	解析され、システム情報が抽出され、ラベルとして主要なアセットにマッピングされます。
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	`scriptd` プロセスログに直接マッピングされます。
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	直接マッピング。ターゲットアセットの IP の入力にも使用されます。`has_target` を true に設定します。
`targetPort`	`event.idm.read_only_udm.target.port`	直接マッピングされ、整数に変換されます。
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	直接マッピング。
`timestamp`	`event.timestamp`	解析とリベース後に直接マッピングされます。
`tls_version`	`event.idm.read_only_udm.network.tls.version`	直接マッピング。
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	直接マッピング。値が HTTP/1.1 の場合、「HTTP」がマッピングされます。
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	直接マッピング。プリンシパルアセットのホスト名の入力にも使用されます。`has_principal` を true に設定します。
`uri`	`event.idm.read_only_udm.target.url`	直接マッピング。
`uri_path`	`event.idm.read_only_udm.target.url`	直接マッピングされ、`uri_query` と連結されます（存在する場合）。
`url`	`event.idm.read_only_udm.principal.url`	直接マッピング。
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	直接マッピング。
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	直接マッピング。
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	直接マッピング。ターゲットユーザー ID の入力にも使用されます。`has_principal_user` を true に設定します。
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	「F5」にハードコードされています。
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	直接マッピング。
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `vs` キーから直接マッピングされます。
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	解析された Key-Value ペアの `vs_name` キーから直接マッピングされます。
なし	`event.idm.read_only_udm.metadata.event_type`	特定のフィールドの有無に基づいてパーサーロジックによって決定されます。デフォルトは `GENERIC_EVENT` です。`NETWORK_CONNECTION`、`USER_LOGIN`、`USER_LOGOUT`、`USER_UNCATEGORIZED`、`STATUS_UPDATE`、`NETWORK_HTTP` のいずれかです。
なし	`event.idm.read_only_udm.metadata.product_name`	「BIG-IP Local Traffic Manager（LTM）」にハードコードされました。
なし	`event.idm.read_only_udm.metadata.vendor_name`	「F5」にハードコードされています。
なし	`event.idm.read_only_udm.metadata.event_timestamp`	最上位の `event.timestamp` からコピー。
なし	`event.idm.read_only_udm.security_result.severity`	`severity` フィールドまたは `Level` フィールド（存在する場合）に基づいてパーサーロジックによって決定されます。デフォルトは `UNKNOWN_SEVERITY` です。`INFORMATIONAL`、`LOW`、`MEDIUM`、`HIGH`、`CRITICAL` のいずれかです。
なし	`event.idm.read_only_udm.security_result.summary`	特定の `apmd` ログに対して「Authentication failure」に設定します。
なし	`event.idm.read_only_udm.extensions.auth.type`	特定の `apmd` ログと `sshd` ログの場合は「VPN」に設定します。それ以外の場合は、`USER_LOGIN` イベントと `USER_LOGOUT` イベントで `AUTHTYPE_UNSPECIFIED` に設定します。
なし	`event.idm.read_only_udm.network.ip_protocol`	`proto` が存在しない場合のデフォルトは「TCP」です。それ以外の場合は、`proto` フィールドで決まります。
なし	`event.idm.is_alert`、`event.idm.is_significant`	`loglevel` が「alert」、「crit」、「emer」の場合は `true` に設定します。

変更点

2024-05-06

新しい形式の KV ログを処理するためのサポートを追加しました。
「tlsproto」を「network.tls.version_protocol」にマッピングしました。
「method_req」を「network.http.method」にマッピングしました。
「path」を「target.url」にマッピングしました。
「url」を「principal.url」にマッピングしました。
「client_ip」を「principal.ip」と「principal.asset.ip」にマッピングしました。
「device」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
「host」を「target.hostname」と「target.asset.hostname」にマッピングしました。
「vip」を「target.ip」と「target.asset.ip」にマッピングしました。
「client_port」を「principal.port」にマッピングしました。
「snat_ip」を「principal.nat_ip」にマッピングしました。
「snat_port」を「principal.nat_port」にマッピングしました。
「vs_name」、「path」、「query」、「node」、「pool_member」、「vs」、「device」、「blade」、「client」、「snat」を「about.resource.attribute.labels」にマッピングしました。

2024-03-23

不要な文字を削除してログを解析する gsub を追加しました。
「support_id」、「query_string」、「request_status」を「additional.fields」にマッピングしました。
「uri」を「target.url」にマッピングしました。

2024-02-23

機能強化
Key-Value 形式のデータを取得する「kv」ブロックを追加しました。
CSV 形式のログのサポートを追加しました。
キーバリューフィールドを抽出するための Grok パターンを追加しました。
「dest_ip」を「target_ip」にマッピングしました。
「dest_port」を「targetPort」にマッピングしました
「src_port」を「principalPort」にマッピングしました
「dest_port」を「targetPort」にマッピングしました
「ip_client」と「manage_ip_addr」を「principal.ip」と「principal.asset.ip」にマッピングしました
「target_ip」と「Virtual_IP」を「target.ip」と「target.asset.ip」にマッピングしました
「severity」を「security_result.severity」にマッピングしました
「session_id」を「network.session_id」にマッピングしました
「network」を「network.http.method」にマッピングしました
「violations」、「policy_name」、「req_status」を「security_result.detection_fields」にマッピングしました。
「protocol」を「network.application_protocol」にマッピングしました
「staged_threat_campaign_names」、「staged_sig_ids」、「threat_campaign_names」、「staged_sig_names」、「captcha_result」、「sig_set_names」、「staged_sig_set_names」、「sig_ids」、「sig_names」、「resp_code」、「false_positive」を「additional.fields」にマッピングしました。

2024-01-24

bug-fix
「uri_pathuri_query」と「header.Referer」のマッピングを変更しました。
「uri_pathuri_query」のマッピングを「network.http.referral_url」から「target.url」に変更しました。
「header.Referer」のマッピングを「security_result.about.resource.attribute.labels」から「network.http.referral_url」に変更しました。

2023-12-14

機能強化
JSON 形式のログのサポートを追加しました。

2023-08-28

機能強化
Key-Value 形式のデータを取得する「kv」ブロックを追加しました。
「process」を「target.application」にマッピングしました。
「Country」を「principal.location.country_or_region」にマッピングしました。
「State」を「principal.location.state」にマッピングしました。
「Client_IP」を「principal.ip」にマッピングしました。
「Virtual_IP」を「target.ip」にマッピングしました。
「Session_ID」を「network.session_id」にマッピングしました。
「errdefs_msgno」、「partition_name」、「Listener」、「Access_Profile」を「additional.fields」にマッピングしました。

2023-07-18

「process」が「apmd」で、「loglevel」が「notice」のログを解析しました。

2023-05-18

機能拡張 - 「tmm」を含むログを解析するための Grok パターンを追加しました。
「anacron」、「run-parts」、「syslog-ng」を含むログを解析しました。

2023-05-09

bug-fix
syslog の principal.hostname にマッピングされている intermediary.hostname にマッピングされているホスト名。

2023-03-14

機能強化
event_type が「USER_LOGIN」と「NETWORK_CONNECTION」の「intermediary.hostname」をマッピングしました。
「principal.user.userid」が存在する場合、「GENERIC_EVENT」として解析されるログは「USER_UNCATEGORIZED」にマッピングされます。
「principal.ip」が存在する場合に、「GENERIC_EVENT」として解析されるログを「STATUS_UPDATE」にマッピングしました。

2023-02-23

機能強化
プロセスタイプ「httpd」と「tmm」の Grok パターンを更新しました。

2023-02-06

機能強化
プロセスタイプ「tmm」の grok パターンを更新しました。
「target.hostname」の冗長コードを削除し、汎用/グローバルにしました。
「target.hostname」のマッピングを「intermediary.hostname」に変更しました。

2023-02-02

機能強化
プロセスタイプ「tmm」の grok パターンを更新しました。
「target.hostname」のマッピングを「intermediary.hostname」に変更しました。
principal.ip が存在する場合に metadata.event_type を「GENERIC_EVENT」から「STATUS_UPDATE」に変更しました。

2022-06-21

bug-fix
プロセスタイプ「tmm」の grok パターンを更新しました

2022-05-02

bug-fix
「event.idm.read_only_udm.security_result」の重複するマッピングを削除しました。
Validation API のテスト中に失敗したログを解析しました。