收集 F5 BIG-IP LTM 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 F5 BIG-IP Local Traffic Manager (LTM) 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 F5_BIGIP_LTM 注入标签的解析器。
配置 F5 BIG-IP LTM
- 使用 root 凭据登录 SSH。
使用以下命令登录 Traffic Management Shell (tmsh):
tmsh使用以下命令将过滤后的日志消息发送到远程 syslog 服务器:
modify /sys syslog remote-servers none移除 remote-servers 语句,然后添加一个 syslog
include语句来定义过滤规则和远程服务器。如需定义引用远程服务器的必需 syslog 过滤器,请使用以下命令:
edit /sys syslog all-properties将
include none命令替换为以下过滤条件,并添加 IP 地址和端口号。include " filter f_remote_loghost { level(debug..emerg); }; filter f_ssl_acc { not match(\"ssl_acc\"); }; filter f_ssl_req { not match(\"ssl_req\"); }; destination d_remote_loghost { udp(IP_ADDRESS PORT); }; log { source(s_syslog_pipe); filter(f_remote_loghost); filter(f_ssl_acc); filter(f_ssl_req); destination(d_remote_loghost); }; "将 IP_ADDRESS 替换为 Google 安全运营转发器 IP 地址,并将 port 替换为高端口号。
如需退出文本编辑器,请按 Esc 键,然后输入 wq!。
使用以下命令保存配置:
save /sys config
配置 Google Security Operations 转发器和 syslog 以提取 F5 BIG-IP LTM 日志
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一的名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入名称。
- 选择 F5 BIGIP LTM 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定协议。
- 地址:指定 Google Security Operations 转发器 IP 地址。
- Port:指定端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。 如需了解每种转发器类型的要求,请参阅按类型配置转发器。
如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会对 F5 BIG-IP 本地流量管理器 (LTM) 日志进行标准化处理,同时处理键值对格式和 syslog 格式。它会提取 IP 地址、用户名、操作和说明等字段,将其映射到 UDM,并根据日志内容和提取的字段对事件进行分类,包括网络连接、用户登录/退出和通用事件。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Access_Profile |
event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value |
直接从解析的键值对中的 Access_Profile 键映射而来。 |
Client_IP |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] |
直接从解析的键值对中的 Client_IP 键映射而来。也用于填充主要素材资源 IP。将 has_principal 设置为 true。 |
Country |
event.idm.read_only_udm.principal.location.country_or_region |
直接从解析的键值对中的 Country 键映射而来。 |
Listener |
event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value |
直接从解析的键值对中的 Listener 键映射而来。 |
Session_ID |
event.idm.read_only_udm.network.session_id |
直接从解析的键值对中的 Session_ID 键映射而来。 |
State |
event.idm.read_only_udm.principal.location.state |
直接从解析的键值对中的 State 键映射而来。 |
Virtual_IP |
event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[] |
直接从解析的键值对中的 Virtual_IP 键映射而来。也用于填充目标资产 IP。将 has_target 设置为 true。 |
about |
event.idm.read_only_udm.about |
从各种字段(例如 snat、vs_name、path、query、node、pool_member、vs、client、blade 和 device)填充,前提是这些字段存在于原始日志中且成功解析。 |
action_data |
event.idm.read_only_udm.target.process.command_line |
直接映射到 scriptd 进程日志。 |
attack_type |
event.idm.read_only_udm.security_result.category_details[] |
直接映射。 |
blade |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 blade 键映射而来。 |
bytes_in |
event.idm.read_only_udm.network.received_bytes |
直接映射,转换为无符号整数。 |
bytes_out |
event.idm.read_only_udm.network.sent_bytes |
直接映射,转换为无符号整数。 |
captcha_result |
event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
client |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 client 键映射而来。 |
client_ip |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] |
直接映射。也用于填充主要素材资源 IP。将 has_principal 设置为 true。 |
client_port |
event.idm.read_only_udm.principal.port |
直接映射,转换为整数。 |
collection_time |
event.timestamp |
日志条目的时间戳用作事件时间戳。 |
command_line |
event.idm.read_only_udm.target.process.command_line |
直接映射到 CROND 进程日志和某些 logger 日志。 |
data |
message |
原始日志消息。系统会对其进行解析,并将其用于填充各种 UDM 字段。 |
dgl_count |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value |
直接映射。 |
dgl_value |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value |
直接映射。 |
description |
event.idm.read_only_udm.metadata.description,event.idm.read_only_udm.security_result.description |
直接映射到某些日志类型,或作为安全结果说明的一部分使用。 |
device |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接映射。也用于填充主要资产主机名。将 has_principal 设置为 true。 |
dest_ip |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
直接映射。也用于填充目标资产 IP。将 has_principal 设置为 true。 |
dest_port |
event.idm.read_only_udm.target.port |
直接映射。 |
dvc |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname |
会被解析以提取主机名或 IP。用于填充主主机名或中继主机名。 |
errdefs_msgno |
event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value |
直接从解析的键值对中的 errdefs_msgno 键映射而来。 |
error_reason |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value |
直接映射。 |
false_positive |
event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
function_id |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value |
直接映射。 |
geoContinent |
event.idm.read_only_udm.principal.location.continent |
在提供的示例中未映射,但会映射到大洲(如果有)。 |
geoCountry |
event.idm.read_only_udm.principal.location.country_or_region |
直接映射。 |
geoState |
event.idm.read_only_udm.principal.location.state |
直接映射。 |
header.Referer |
event.idm.read_only_udm.network.http.referral_url |
直接映射。 |
header.User-Agent |
event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent |
直接映射。也已转换为解析后的用户代理。 |
header.X-Forwarded-For |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] |
会进行解析以提取 IP 并将其合并到主 IP 和主素材资源 IP。 |
host |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
直接映射。也用于填充目标资产主机名。将 has_target 设置为 true。 |
http_host |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
直接映射。也用于填充目标资产主机名。将 has_target 设置为 true。 |
http_method |
event.idm.read_only_udm.network.http.method |
直接映射。将 event_type 设置为 NETWORK_HTTP(如果存在)。 |
ip_client |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] |
直接映射。也用于填充主要素材资源 IP。将 has_principal 设置为 true。 |
kv_msg |
各种字段 | 会解析为键值对,并用于填充各种 UDM 字段。 |
Level |
event.idm.read_only_udm.security_result.severity |
如果 severity 字段不存在,则映射到严重程度。转换为 UDM 严重程度值(例如 “信息”->“信息性”)。 |
Listener |
event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
log_message |
event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description |
进一步解析以提取 request_uri 或 description。 |
log_type |
event.idm.read_only_udm.metadata.log_type |
直接从原始日志的 log_type 字段映射。 |
loglevel |
event.idm.read_only_udm.security_result.severity |
已映射到严重程度。转换为 UDM 严重程度值(例如 “warning”->“MEDIUM”“err”->“HIGH”)。也用于提醒/重要事件逻辑。 |
manage_ip_addr |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] |
直接映射。也用于填充主要素材资源 IP。将 has_principal 设置为 true。 |
method |
event.idm.read_only_udm.network.http.method |
直接映射。将 event_type 设置为 NETWORK_HTTP。 |
method_req |
event.idm.read_only_udm.network.http.method |
直接映射。 |
msg1 |
event.idm.read_only_udm.security_result.description |
如果未进一步解析,则用作安全结果说明。 |
node |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 node 键映射而来。 |
partition_name |
event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
path |
event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接映射。 |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value |
直接映射。 |
pool_member |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 pool_member 键映射而来。 |
principalHost |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
直接映射。也用于填充主要资产主机名。将 has_principal 设置为 true。 |
principalIp |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip |
直接映射。也用于填充主要素材资源 IP 和观察器 IP。将 has_principal 设置为 true。 |
principalPort |
event.idm.read_only_udm.principal.port |
直接映射,转换为整数。 |
process |
event.idm.read_only_udm.target.application |
直接映射。 |
product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
直接映射。 |
proto |
event.idm.read_only_udm.network.ip_protocol |
使用查找将协议编号转换为协议名称后,映射到 IP 协议。 |
query |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 query 键映射而来。 |
query_string |
event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
reason |
event.idm.read_only_udm.security_result.description |
直接映射到具有警告或错误日志级别的 apmd 进程日志。 |
reason_code |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value |
直接映射。 |
req_status |
event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value |
直接映射。 |
request |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol |
用于确定应用协议 (HTTP),并映射为标签。 |
request_status |
event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
request_uri |
event.idm.read_only_udm.target.url |
直接映射。 |
resp_code |
event.idm.read_only_udm.network.http.response_code |
直接映射,转换为整数。 |
response_code |
event.idm.read_only_udm.network.http.response_code |
直接映射,转换为整数。 |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
直接映射。 |
sec_action |
event.idm.read_only_udm.security_result.action[] |
已映射到操作。“Continue”(继续)会转换为“ALLOW”(允许)。其他值会转换为“BLOCK”。 |
security_result |
event.idm.read_only_udm.security_result |
已合并到 security_result 对象中。 |
session_id |
event.idm.read_only_udm.network.session_id |
直接映射。 |
severity |
event.idm.read_only_udm.security_result.severity |
已映射到严重程度。转换为 UDM 严重程度值(例如 “错误”->“ERROR”“信息”->“INFORMATIONAL”)。 |
sig_ids |
event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
sig_names |
event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
sni_host |
event.idm.read_only_udm.network.tls.client.server_name |
直接映射。 |
snat |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 snat 键映射而来。 |
snat_ip |
event.idm.read_only_udm.principal.nat_ip[] |
直接映射。 |
snat_port |
event.idm.read_only_udm.principal.nat_port |
直接映射,转换为整数。 |
src_ip |
event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] |
直接映射。也用于填充主要素材资源 IP。 |
src_port |
event.idm.read_only_udm.principal.port |
直接映射。 |
ssl_cipher |
event.idm.read_only_udm.network.tls.cipher |
直接映射。 |
ssl_function |
event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value |
直接映射。 |
ssl_version |
event.idm.read_only_udm.network.tls.version_protocol |
直接映射。 |
staged_sig_ids |
event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
staged_sig_names |
event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
staged_sig_set_names |
event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
staged_threat_campaign_names |
event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
status |
event.idm.read_only_udm.security_result.summary |
直接映射到 scriptd 进程日志。 |
summary |
event.idm.read_only_udm.security_result.summary |
某些日志类型会直接映射。 |
support_id |
event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
systems |
event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value |
会进行解析,以提取系统信息并将其作为标签映射到主要资产。 |
targetFile |
event.idm.read_only_udm.target.file.full_path |
直接映射到 scriptd 进程日志。 |
targetIp |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
直接映射。也用于填充目标资产 IP。将 has_target 设置为 true。 |
targetPort |
event.idm.read_only_udm.target.port |
直接映射,转换为整数。 |
threat_campaign_names |
event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value |
直接映射。 |
timestamp |
event.timestamp |
在解析和重新定位后直接映射。 |
tls_version |
event.idm.read_only_udm.network.tls.version |
直接映射。 |
tlsproto |
event.idm.read_only_udm.network.tls.version_protocol |
直接映射。如果值为 HTTP/1.1,则会映射到“HTTP”。 |
unit_host |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
直接映射。也用于填充主要资产主机名。将 has_principal 设置为 true。 |
uri |
event.idm.read_only_udm.target.url |
直接映射。 |
uri_path |
event.idm.read_only_udm.target.url |
直接映射,与 uri_query(如果有)串联。 |
url |
event.idm.read_only_udm.principal.url |
直接映射。 |
url_string |
event.idm.read_only_udm.network.http.referral_url |
直接映射。 |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
直接映射。 |
userId |
event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid |
直接映射。也用于填充目标用户 ID。将 has_principal_user 设置为 true。 |
vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
已硬编码为“F5”。 |
violations |
event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value |
直接映射。 |
vs |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 vs 键映射而来。 |
vs_name |
event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value |
直接从解析的键值对中的 vs_name 键映射而来。 |
| 不适用 | event.idm.read_only_udm.metadata.event_type |
由解析器逻辑根据是否存在特定字段来确定。默认为 GENERIC_EVENT。 可以是 NETWORK_CONNECTION、USER_LOGIN、USER_LOGOUT、USER_UNCATEGORIZED、STATUS_UPDATE 或 NETWORK_HTTP。 |
| 不适用 | event.idm.read_only_udm.metadata.product_name |
已硬编码为“BIG-IP 本地流量管理器 (LTM)”。 |
| 不适用 | event.idm.read_only_udm.metadata.vendor_name |
已硬编码为“F5”。 |
| 不适用 | event.idm.read_only_udm.metadata.event_timestamp |
从顶级 event.timestamp 复制。 |
| 不适用 | event.idm.read_only_udm.security_result.severity |
由解析器逻辑根据 severity 或 Level 字段(如果存在)确定。默认值为 UNKNOWN_SEVERITY。可以是 INFORMATIONAL、LOW、MEDIUM、HIGH 或 CRITICAL。 |
| 不适用 | event.idm.read_only_udm.security_result.summary |
将特定 apmd 日志设置为“身份验证失败”。 |
| 不适用 | event.idm.read_only_udm.extensions.auth.type |
对于特定的 apmd 和 sshd 日志,将其设置为“VPN”。否则,对于 USER_LOGIN 和 USER_LOGOUT 事件,请将其设置为 AUTHTYPE_UNSPECIFIED。 |
| 不适用 | event.idm.read_only_udm.network.ip_protocol |
如果不存在 proto,则默认为“TCP”。否则,由 proto 字段确定。 |
| 不适用 | event.idm.is_alert,event.idm.is_significant |
如果 loglevel 为“alert”“crit”“emer”,则设置为 true。 |
变化
2024-05-06
- 添加了对处理新格式 KV 日志的支持。
- 将“tlsproto”映射到“network.tls.version_protocol”。
- 将“method_req”映射到“network.http.method”。
- 将“path”映射到“target.url”。
- 将“url”映射到“principal.url”。
- 将“client_ip”映射到“principal.ip”和“principal.asset.ip”。
- 将“device”映射到“principal.hostname”和“principal.asset.hostname”。
- 将“主机”映射到“target.hostname”和“target.asset.hostname”。
- 将“vip”映射到“target.ip”和“target.asset.ip”。
- 将“client_port”映射到“principal.port”。
- 将“snat_ip”映射到“principal.nat_ip”。
- 将“snat_port”映射到“principal.nat_port”。
- 将“vs_name”“path”“query”“node”“pool_member”“vs”“device”“blade”“client”和“snat”映射到“about.resource.attribute.labels”。
2024-03-23
- 添加了 gsub 以移除不必要的字符以解析日志。
- 将“support_id”“query_string”和“request_status”映射到“additional.fields”。
- 将“uri”映射到“target.url”。
2024-02-23
- 增强
- 添加了“kv”块,用于检索键值对格式数据。
- 添加了对 CSV 格式日志的支持。
- 添加了 Grok 模式以提取键值对字段。
- 将“dest_ip”映射到“target_ip”。
- 将“dest_port”映射到“targetPort”
- 将“src_port”映射到“principalPort”
- 将“dest_port”映射到“targetPort”
- 将“ip_client”和“manage_ip_addr”映射到“principal.ip”和“principal.asset.ip”
- 将“target_ip”和“Virtual_IP”映射到“target.ip”和“target.asset.ip”
- 将“severity”映射到“security_result.severity”
- 将“session_id”映射到“network.session_id”
- 将“network”映射到“network.http.method”
- 将“violations”“policy_name”和“req_status”映射到“security_result.detection_fields”。
- 将“protocol”映射到“network.application_protocol”
- 将“staged_threat_campaign_names”“staged_sig_ids”“threat_campaign_names”“staged_sig_names”“captcha_result”“sig_set_names”“staged_sig_set_names”“sig_ids”“sig_names”“resp_code”和“false_positive”映射到“additional.fields”。
2024-01-24
- bug-fix
- 更改了“uri_pathuri_query”和“header.Referer”的映射。
- 将“uri_pathuri_query”与“target.url”的映射从“network.http.referral_url”更改为“network.http.referral_url”。
- 将“header.Referer”与“security_result.about.resource.attribute.labels”的映射更改为“network.http.referral_url”。
2023-12-14
- 增强
- 添加了对 JSON 格式日志的支持。
2023-08-28
- 增强
- 添加了“kv”块,用于检索键值对格式数据。
- 将“process”映射到“target.application”。
- 将“国家/地区”映射到“principal.location.country_or_region”。
- 将“State”映射到“principal.location.state”。
- 将“Client_IP”映射到“principal.ip”。
- 将“Virtual_IP”映射到“target.ip”。
- 将“Session_ID”映射到“network.session_id”。
- 将“errdefs_msgno”“partition_name”“Listener”“Access_Profile”映射到“additional.fields”。
2023-07-18
- 已解析的日志,其中“process”为“apmd”,“loglevel”为“notice”。
2023-05-18
- 增强功能 - 添加了 Grok 模式来解析包含“tmm”的日志。
- 解析了包含“anacron”“run-parts”和“syslog-ng”的日志。
2023-05-09
- bug-fix
- 主机名,将映射到 intermediary.hostname,后者会映射到 syslog 的 principal.hostname。
2023-03-14
- 增强
- 为 event_type 为“USER_LOGIN”和“NETWORK_CONNECTION”的事件映射了“intermediary.hostname”。
- 如果存在“principal.user.userid”,则解析为“GENERIC_EVENT”的日志会映射到“USER_UNCATEGORIZED”。
- 如果存在“principal.ip”,则解析为“GENERIC_EVENT”的日志会映射到“STATUS_UPDATE”。
2023-02-23
- 增强
- 更新了进程类型“httpd”和“tmm”的 Grok 模式。
2023-02-06
- 增强
- 更新了进程类型“tmm”的 Grok 模式。
- 移除了“target.hostname”多余代码,并将其设为通用/全局代码。
- 更改了“target.hostname”与“intermediary.hostname”的映射。
2023-02-02
- 增强
- 更新了进程类型“tmm”的 Grok 模式。
- 更改了“target.hostname”与“intermediary.hostname”的映射。
- 将 metadata.event_type 从“GENERIC_EVENT”(存在 principal.ip)修改为“STATUS_UPDATE”。
2022-06-21
- bug-fix
- 更新了进程类型“tmm”的 Grok 模式
2022-05-02
- bug-fix
- 移除了“event.idm.read_only_udm.security_result”的重复映射。
- 解析了在 Validation API 测试期间失败的日志。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。