이 페이지는 Cloud Translation API를 통해 번역되었습니다.

F5 BIG-IP LTM 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 전달자를 사용하여 F5 BIG-IP 로컬 트래픽 관리자 (LTM) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 F5_BIGIP_LTM 수집 라벨이 있는 파서에 적용됩니다.

F5 BIG-IP LTM 구성

루트 사용자 인증 정보를 사용하여 SSH에 로그인합니다.
다음 명령어를 사용하여 트래픽 관리 셸 (tmsh)에 로그인합니다.

tmsh
다음 명령어를 사용하여 필터링된 로그 메시지를 원격 syslog 서버로 전송합니다.

modify /sys syslog remote-servers none
remote-servers 문을 삭제한 다음 필터 규칙과 원격 서버를 정의하는 syslog include 문을 추가합니다.
원격 서버를 참조하는 필수 syslog 필터를 정의하려면 다음 명령어를 사용합니다.

edit /sys syslog all-properties

include none 명령어를 다음 필터로 바꾸고 IP 주소와 포트 번호를 추가합니다.

include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

IP_ADDRESS를 Google Security Operations 전달자 IP 주소로, port를 높은 포트 번호로 바꿉니다.

텍스트 편집기를 종료하려면 Esc 키를 누른 다음 wq!를 입력합니다.
다음 명령어를 사용하여 구성을 저장합니다.

save /sys config

F5 BIG-IP LTM 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성

SIEM 설정 > 전달자로 이동합니다.
새 전달자 추가를 클릭합니다.
Forwarder Name(운송업체 이름) 입력란에 운송업체의 고유한 이름을 입력합니다.
제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
수집기 이름 입력란에 이름을 입력합니다.
로그 유형으로 F5 BIGIP LTM을 선택합니다.
수집기 유형으로 Syslog를 선택합니다.
다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 프로토콜을 지정합니다.
- Address: Google Security Operations 전달자 IP 주소를 지정합니다.
- 포트: 포트를 지정합니다.
제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요. 각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 키-값 및 syslog 형식을 모두 처리하여 F5 BIG-IP Local Traffic Manager (LTM) 로그를 정규화합니다. IP 주소, 사용자 이름, 작업, 설명과 같은 필드를 추출하여 UDM에 매핑하고 네트워크 연결, 사용자 로그인/로그아웃, 일반 이벤트를 비롯한 로그 콘텐츠 및 추출된 필드를 기반으로 이벤트를 분류합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
`Access_Profile`	`event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value`	파싱된 키-값 쌍의 `Access_Profile` 키에서 직접 매핑됩니다.
`Client_IP`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	파싱된 키-값 쌍의 `Client_IP` 키에서 직접 매핑됩니다. 기본 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	파싱된 키-값 쌍의 `Country` 키에서 직접 매핑됩니다.
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	파싱된 키-값 쌍의 `Listener` 키에서 직접 매핑됩니다.
`Session_ID`	`event.idm.read_only_udm.network.session_id`	파싱된 키-값 쌍의 `Session_ID` 키에서 직접 매핑됩니다.
`State`	`event.idm.read_only_udm.principal.location.state`	파싱된 키-값 쌍의 `State` 키에서 직접 매핑됩니다.
`Virtual_IP`	`event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[]`	파싱된 키-값 쌍의 `Virtual_IP` 키에서 직접 매핑됩니다. 타겟 애셋 IP를 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`about`	`event.idm.read_only_udm.about`	원시 로그에 있고 성공적으로 파싱된 경우 `snat`, `vs_name`, `path`, `query`, `node`, `pool_member`, `vs`, `client`, `blade`, `device`와 같은 다양한 필드에서 채워집니다.
`action_data`	`event.idm.read_only_udm.target.process.command_line`	`scriptd` 프로세스 로그에 직접 매핑됩니다.
`attack_type`	`event.idm.read_only_udm.security_result.category_details[]`	직접 매핑됩니다.
`blade`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `blade` 키에서 직접 매핑됩니다.
`bytes_in`	`event.idm.read_only_udm.network.received_bytes`	직접 매핑되고 부호 없는 정수로 변환됩니다.
`bytes_out`	`event.idm.read_only_udm.network.sent_bytes`	직접 매핑되고 부호 없는 정수로 변환됩니다.
`captcha_result`	`event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`client`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `client` 키에서 직접 매핑됩니다.
`client_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 기본 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`client_port`	`event.idm.read_only_udm.principal.port`	직접 매핑되고 정수로 변환됩니다.
`collection_time`	`event.timestamp`	로그 항목의 타임스탬프가 이벤트 타임스탬프로 사용됩니다.
`command_line`	`event.idm.read_only_udm.target.process.command_line`	`CROND` 프로세스 로그 및 일부 `logger` 로그에 직접 매핑됩니다.
`data`	`message`	원시 로그 메시지입니다. 이 데이터는 파싱되어 다양한 UDM 필드를 채우는 데 사용됩니다.
`dgl_count`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`dgl_value`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`description`	`event.idm.read_only_udm.metadata.description`, `event.idm.read_only_udm.security_result.description`	일부 로그 유형에 직접 매핑되거나 보안 결과 설명의 일부로 사용됩니다.
`device`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value`	직접 매핑됩니다. 기본 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`dest_ip`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	직접 매핑됩니다. 타겟 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`dest_port`	`event.idm.read_only_udm.target.port`	직접 매핑됩니다.
`dvc`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname`	호스트 이름 또는 IP를 추출하도록 파싱됩니다. 기본 호스트 이름 또는 중간 호스트 이름을 채우는 데 사용됩니다.
`errdefs_msgno`	`event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value`	파싱된 키-값 쌍의 `errdefs_msgno` 키에서 직접 매핑됩니다.
`error_reason`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`false_positive`	`event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`function_id`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`geoContinent`	`event.idm.read_only_udm.principal.location.continent`	제공된 예시에서는 매핑되지 않지만 가능한 경우 대륙에 매핑됩니다.
`geoCountry`	`event.idm.read_only_udm.principal.location.country_or_region`	직접 매핑됩니다.
`geoState`	`event.idm.read_only_udm.principal.location.state`	직접 매핑됩니다.
`header.Referer`	`event.idm.read_only_udm.network.http.referral_url`	직접 매핑됩니다.
`header.User-Agent`	`event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent`	직접 매핑됩니다. 또한 파싱된 사용자 에이전트로 변환됩니다.
`header.X-Forwarded-For`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	IP를 추출하고 기본 IP 및 기본 애셋 IP에 병합하도록 파싱됩니다.
`host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	직접 매핑됩니다. 대상 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`http_host`	`event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname`	직접 매핑됩니다. 대상 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`http_method`	`event.idm.read_only_udm.network.http.method`	직접 매핑됩니다. `event_type`가 있는 경우 `event_type`를 `NETWORK_HTTP`로 설정합니다.
`ip_client`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 기본 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`kv_msg`	다양한 필드	키-값 쌍으로 파싱되며 다양한 UDM 필드를 채우는 데 사용됩니다.
`Level`	`event.idm.read_only_udm.security_result.severity`	`severity` 필드가 없는 경우 심각도에 매핑됩니다. UDM 심각도 값으로 변환됩니다 (예: '정보' -> '정보')
`Listener`	`event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`log_message`	`event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description`	추가로 파싱하여 `request_uri` 또는 `description`를 추출합니다.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	원시 로그의 `log_type` 필드에서 직접 매핑됩니다.
`loglevel`	`event.idm.read_only_udm.security_result.severity`	심각도에 매핑됩니다. UDM 심각도 값으로 변환됩니다 (예: 'warning' -> 'MEDIUM', 'err' -> 'HIGH'). 알림/중요한 이벤트 로직에도 사용됩니다.
`manage_ip_addr`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 기본 애셋 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`method`	`event.idm.read_only_udm.network.http.method`	직접 매핑됩니다. `event_type`을 `NETWORK_HTTP`로 설정합니다.
`method_req`	`event.idm.read_only_udm.network.http.method`	직접 매핑됩니다.
`msg1`	`event.idm.read_only_udm.security_result.description`	추가로 파싱되지 않으면 보안 결과 설명으로 사용됩니다.
`node`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `node` 키에서 직접 매핑됩니다.
`partition_name`	`event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`path`	`event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value`	직접 매핑됩니다.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value`	직접 매핑됩니다.
`pool_member`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `pool_member` 키에서 직접 매핑됩니다.
`principalHost`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	직접 매핑됩니다. 기본 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`principalIp`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip`	직접 매핑됩니다. 또한 기본 애셋 IP 및 관찰자 IP를 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`principalPort`	`event.idm.read_only_udm.principal.port`	직접 매핑되고 정수로 변환됩니다.
`process`	`event.idm.read_only_udm.target.application`	직접 매핑됩니다.
`product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	직접 매핑됩니다.
`proto`	`event.idm.read_only_udm.network.ip_protocol`	조회를 사용하여 프로토콜 번호를 프로토콜 이름으로 변환한 후 IP 프로토콜에 매핑됩니다.
`query`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `query` 키에서 직접 매핑됩니다.
`query_string`	`event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`reason`	`event.idm.read_only_udm.security_result.description`	경고 또는 오류 로그 수준이 있는 `apmd` 프로세스 로그에 직접 매핑되었습니다.
`reason_code`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`req_status`	`event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value`	직접 매핑됩니다.
`request`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol`	애플리케이션 프로토콜 (HTTP)을 결정하는 데 사용되며 라벨로 매핑됩니다.
`request_status`	`event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`request_uri`	`event.idm.read_only_udm.target.url`	직접 매핑됩니다.
`resp_code`	`event.idm.read_only_udm.network.http.response_code`	직접 매핑되고 정수로 변환됩니다.
`response_code`	`event.idm.read_only_udm.network.http.response_code`	직접 매핑되고 정수로 변환됩니다.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	직접 매핑됩니다.
`sec_action`	`event.idm.read_only_udm.security_result.action[]`	작업에 매핑됩니다. '계속'이 '허용'으로 변환됩니다. 다른 값은 'BLOCK'으로 변환됩니다.
`security_result`	`event.idm.read_only_udm.security_result`	security_result 객체에 병합되었습니다.
`session_id`	`event.idm.read_only_udm.network.session_id`	직접 매핑됩니다.
`severity`	`event.idm.read_only_udm.security_result.severity`	심각도에 매핑됩니다. UDM 심각도 값으로 변환됩니다 (예: 'Error' -> 'ERROR', 'Informational' -> 'INFORMATIONAL').
`sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`sig_names`	`event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`sni_host`	`event.idm.read_only_udm.network.tls.client.server_name`	직접 매핑됩니다.
`snat`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `snat` 키에서 직접 매핑됩니다.
`snat_ip`	`event.idm.read_only_udm.principal.nat_ip[]`	직접 매핑됩니다.
`snat_port`	`event.idm.read_only_udm.principal.nat_port`	직접 매핑되고 정수로 변환됩니다.
`src_ip`	`event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[]`	직접 매핑됩니다. 기본 애셋 IP를 채우는 데도 사용됩니다.
`src_port`	`event.idm.read_only_udm.principal.port`	직접 매핑됩니다.
`ssl_cipher`	`event.idm.read_only_udm.network.tls.cipher`	직접 매핑됩니다.
`ssl_function`	`event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value`	직접 매핑됩니다.
`ssl_version`	`event.idm.read_only_udm.network.tls.version_protocol`	직접 매핑됩니다.
`staged_sig_ids`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`staged_sig_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`staged_sig_set_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`staged_threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`status`	`event.idm.read_only_udm.security_result.summary`	`scriptd` 프로세스 로그에 직접 매핑됩니다.
`summary`	`event.idm.read_only_udm.security_result.summary`	일부 로그 유형의 경우 직접 매핑됩니다.
`support_id`	`event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`systems`	`event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value`	파싱되어 시스템 정보를 추출하고 기본 저작물에 라벨로 매핑합니다.
`targetFile`	`event.idm.read_only_udm.target.file.full_path`	`scriptd` 프로세스 로그에 직접 매핑됩니다.
`targetIp`	`event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip`	직접 매핑됩니다. 타겟 애셋 IP를 채우는 데도 사용됩니다. `has_target`를 true로 설정합니다.
`targetPort`	`event.idm.read_only_udm.target.port`	직접 매핑되고 정수로 변환됩니다.
`threat_campaign_names`	`event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value`	직접 매핑됩니다.
`timestamp`	`event.timestamp`	파싱 및 리베이스 후 직접 매핑됩니다.
`tls_version`	`event.idm.read_only_udm.network.tls.version`	직접 매핑됩니다.
`tlsproto`	`event.idm.read_only_udm.network.tls.version_protocol`	직접 매핑됩니다. 값이 HTTP/1.1인 경우 'HTTP'가 매핑됩니다.
`unit_host`	`event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname`	직접 매핑됩니다. 기본 애셋 호스트 이름을 채우는 데도 사용됩니다. `has_principal`를 true로 설정합니다.
`uri`	`event.idm.read_only_udm.target.url`	직접 매핑됩니다.
`uri_path`	`event.idm.read_only_udm.target.url`	직접 매핑되며 `uri_query`(있는 경우)와 연결됩니다.
`url`	`event.idm.read_only_udm.principal.url`	직접 매핑됩니다.
`url_string`	`event.idm.read_only_udm.network.http.referral_url`	직접 매핑됩니다.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	직접 매핑됩니다.
`userId`	`event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid`	직접 매핑됩니다. 대상 사용자 ID를 채우는 데도 사용됩니다. `has_principal_user`를 true로 설정합니다.
`vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	'F5'로 하드코딩됩니다.
`violations`	`event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value`	직접 매핑됩니다.
`vs`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `vs` 키에서 직접 매핑됩니다.
`vs_name`	`event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value`	파싱된 키-값 쌍의 `vs_name` 키에서 직접 매핑됩니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.event_type`	특정 필드의 존재 여부에 따라 파서 로직에 의해 결정됩니다. 기본값은 `GENERIC_EVENT`입니다. `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_LOGOUT`, `USER_UNCATEGORIZED`, `STATUS_UPDATE`, `NETWORK_HTTP`일 수 있습니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.product_name`	'BIG-IP Local Traffic Manager (LTM)'로 하드코딩됩니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.vendor_name`	'F5'로 하드코딩됩니다.
해당 사항 없음	`event.idm.read_only_udm.metadata.event_timestamp`	최상위 `event.timestamp`에서 복사됩니다.
해당 사항 없음	`event.idm.read_only_udm.security_result.severity`	`severity` 또는 `Level` 필드(있는 경우)를 기반으로 파서 로직에 의해 결정됩니다. 기본값은 `UNKNOWN_SEVERITY`입니다. `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH` 또는 `CRITICAL`일 수 있습니다.
해당 사항 없음	`event.idm.read_only_udm.security_result.summary`	특정 `apmd` 로그의 경우 '인증 실패'로 설정합니다.
해당 사항 없음	`event.idm.read_only_udm.extensions.auth.type`	특정 `apmd` 및 `sshd` 로그를 'VPN'으로 설정합니다. 그 외의 경우에는 `USER_LOGIN` 및 `USER_LOGOUT` 이벤트에 `AUTHTYPE_UNSPECIFIED`로 설정합니다.
해당 사항 없음	`event.idm.read_only_udm.network.ip_protocol`	`proto`가 없으면 기본값은 'TCP'입니다. 그렇지 않으면 `proto` 필드에 따라 결정됩니다.
해당 사항 없음	`event.idm.is_alert`, `event.idm.is_significant`	`loglevel`이 'alert', 'crit', 'emer'이면 `true`로 설정합니다.

변경사항

2024-05-06

새로운 형식의 KV 로그를 처리하는 지원을 추가했습니다.
'tlsproto'가 'network.tls.version_protocol'에 매핑되었습니다.
'method_req'가 'network.http.method'에 매핑되었습니다.
'path'가 'target.url'에 매핑되었습니다.
'url'이 'principal.url'에 매핑되었습니다.
'client_ip'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
'device'가 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
'host'가 'target.hostname' 및 'target.asset.hostname'에 매핑되었습니다.
'vip'가 'target.ip' 및 'target.asset.ip'에 매핑되었습니다.
'client_port'가 'principal.port'에 매핑되었습니다.
'snat_ip'가 'principal.nat_ip'에 매핑되었습니다.
'snat_port'가 'principal.nat_port'에 매핑되었습니다.
'vs_name', 'path', 'query', 'node', 'pool_member', 'vs', 'device', 'blade', 'client', 'snat'이 'about.resource.attribute.labels'에 매핑되었습니다.

2024-03-23

로그를 파싱할 때 원치 않는 문자를 삭제하는 gsub를 추가했습니다.
'support_id', 'query_string', 'request_status'가 'additional.fields'에 매핑되었습니다.
'uri'가 'target.url'에 매핑되었습니다.

2024-02-23

개선
키-값 형식 데이터를 검색하는 'kv' 블록을 추가했습니다.
CSV 형식 로그에 대한 지원이 추가되었습니다.
키-값 필드를 추출하는 Grok 패턴을 추가했습니다.
'dest_ip'가 'target_ip'에 매핑되었습니다.
'dest_port'를 'targetPort'에 매핑했습니다.
'src_port'가 'principalPort'에 매핑되었습니다.
'dest_port'를 'targetPort'에 매핑했습니다.
'ip_client' 및 'manage_ip_addr'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
'target_ip' 및 'Virtual_IP'를 'target.ip' 및 'target.asset.ip'에 매핑했습니다.
'severity'가 'security_result.severity'에 매핑되었습니다.
'session_id'가 'network.session_id'에 매핑되었습니다.
'network'가 'network.http.method'에 매핑되었습니다.
'violations', 'policy_name', 'req_status'가 'security_result.detection_fields'에 매핑되었습니다.
'protocol'이 'network.application_protocol'에 매핑됨
'staged_threat_campaign_names', 'staged_sig_ids', 'threat_campaign_names', 'staged_sig_names', 'captcha_result', 'sig_set_names', 'staged_sig_set_names', 'sig_ids', 'sig_names', 'resp_code', 'false_positive'를 'additional.fields'에 매핑했습니다.

2024-01-24

bug-fix
'uri_pathuri_query' 및 'header.Referer'의 매핑을 변경했습니다.
'uri_pathuri_query'의 매핑을 'network.http.referral_url'에서 'target.url'로 변경했습니다.
'header.Referer'의 매핑이 'security_result.about.resource.attribute.labels'에서 'network.http.referral_url'로 변경되었습니다.

2023-12-14

개선
JSON 형식 로그에 대한 지원이 추가되었습니다.

2023-08-28

개선
키-값 형식 데이터를 검색하는 'kv' 블록을 추가했습니다.
'process'가 'target.application'에 매핑되었습니다.
'국가'가 'principal.location.country_or_region'에 매핑되었습니다.
'State'가 'principal.location.state'에 매핑되었습니다.
'Client_IP'가 'principal.ip'에 매핑되었습니다.
'Virtual_IP'가 'target.ip'에 매핑되었습니다.
'Session_ID'가 'network.session_id'에 매핑되었습니다.
'errdefs_msgno', 'partition_name', 'Listener', 'Access_Profile'이 'additional.fields'에 매핑되었습니다.

2023-07-18

'process'가 'apmd'이고 'loglevel'이 'notice'인 로그를 파싱했습니다.

2023-05-18

개선사항 - 'tmm'이 포함된 로그를 파싱하는 Grok 패턴이 추가되었습니다.
'anacron', 'run-parts', 'syslog-ng'가 포함된 로그를 파싱했습니다.

2023-05-09

bug-fix
syslog의 principal.hostname에 매핑된 intermediary.hostname에 매핑되는 호스트 이름입니다.

2023-03-14

개선
event_type이 'USER_LOGIN' 및 'NETWORK_CONNECTION'인 경우 'intermediary.hostname'을 매핑했습니다.
'principal.user.userid'가 있는 경우 'GENERIC_EVENT'로 파싱되는 로그가 'USER_UNCATEGORIZED'에 매핑됩니다.
'principal.ip'가 있는 경우 'GENERIC_EVENT'로 파싱되는 로그가 'STATUS_UPDATE'에 매핑되었습니다.

2023-02-23

개선
프로세스 유형 'httpd' 및 'tmm'의 Grok 패턴이 업데이트되었습니다.

2023-02-06

개선
프로세스 유형 'tmm'의 grok 패턴을 업데이트했습니다.
'target.hostname' 중복 코드를 삭제하고 일반/전역으로 만들었습니다.
'target.hostname'의 매핑이 'intermediary.hostname'으로 변경되었습니다.

2023-02-02

개선
프로세스 유형 'tmm'의 grok 패턴을 업데이트했습니다.
'target.hostname'의 매핑이 'intermediary.hostname'으로 변경되었습니다.
principal.ip가 있는 경우 metadata.event_type을 'GENERIC_EVENT'에서 'STATUS_UPDATE'로 수정했습니다.

2022-06-21

bug-fix
프로세스 유형 'tmm'의 grok 패턴을 업데이트했습니다.

2022-05-02

bug-fix
'event.idm.read_only_udm.security_result'의 중복 매핑이 삭제되었습니다.
Validation API 테스트 중에 로그 파싱 실패.