HashiCorp-Audit-Logs erfassen

Unterstützt in:

Dieser Parser verarbeitet HashiCorp-Audit-Logs im JSON-, Syslog- oder kombinierten Format. Es werden Felder extrahiert, Grok- und KV-Parsing sowohl für Standard- als auch für „Runner“-Nachrichten ausgeführt, JSON-Nutzlast verarbeitet und die extrahierten Daten dem UDM zugeordnet. Der Parser umfasst auch die Fehlerbehandlung und das Löschen fehlerhafter Protokolle.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen erhöhte Zugriffsrechte für HCP.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: auditd
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:

    sudo systemctl restart bindplane
    

Syslog für HCP Vault aktivieren

  1. Melde dich im HCP-Portal an.
  2. Gehen Sie zu Vault-Cluster.
  3. Wählen Sie Ihren Vault-Cluster aus der Liste der bereitgestellten Cluster aus.
  4. Suchen Sie auf der Seite Clusterübersicht die Vault-Adresse und kopieren Sie sie (z. B. https://vault-cluster-name.hashicorpcloud.com:8200).
  5. Gehen Sie zum Abschnitt Zugriffsdetails und kopieren Sie das Root-Token.

Vault-Befehlszeile installieren

  • Für Linux:

    curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
    echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
    sudo apt update && sudo apt install vault
    
  • macOS (mit Homebrew):

    brew tap hashicorp/tap
    brew install hashicorp/tap/vault
    
  • Für Windows:

    Download the executable file.
    Extract it and add the Vault binary to your system's PATH.
    
  • Prüfen Sie die Installation der Vault-Befehlszeile mit folgendem Befehl:

    vault --version
    

HCP Vault mit der Befehlszeile konfigurieren, um Prüfprotokolle an BindPlane zu senden

  1. Öffnen Sie das Terminal oder die Eingabeaufforderung.
  2. Legen Sie die Vault-Serveradresse mit der Umgebungsvariablen fest:

    export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
    
  3. Melden Sie sich mit dem Root-Token in Vault an:

    vault login <root-token>
    

Syslog-Pfad zu einem externen Syslog-Socket konfigurieren

  1. Führen Sie den folgenden Befehl aus, um syslog zu aktivieren und an BindPlane zu senden:

    vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
    
  2. Bestätigen Sie die neue Konfiguration:

    vault audit list
    
  3. Die Ausgabe sollte die neue Socket-Konfiguration enthalten.

  4. Optional: Einrichtung mit Terraform automatisieren:

    • Erstellen Sie eine Terraform-Konfigurationsdatei (audit.tf):
    resource "vault_audit" "syslog" {
      type        = "syslog"
      description = "Syslog audit logs"
      options = {
        tag      = "vault"
        facility = "LOCAL0"
      }
    }
    
    resource "vault_audit" "socket" {
      type        = "socket"
      description = "Remote syslog socket"
      options = {
        address     = "udp://<syslog-server-ip>:514"
        socket_type = "udp"
        tag         = "vault"
      }
    }
    
    • Wenden Sie die Konfiguration an:
    terraform init
    terraform apply
    

Fehlerbehebungsprotokolle wurden nicht empfangen

  • Prüfen Sie, ob der Syslog-Server erreichbar ist:

    ping <syslog-server-ip>
    

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
auth.accessor security_result.about.resource.attribute.labels.value Der Wert von auth.accessor aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_accessor“ unter security_result.about.resource.attribute.labels im UDM zugeordnet.
auth.client_token security_result.about.resource.attribute.labels.value Der Wert von auth.client_token aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_client_token“ unter security_result.about.resource.attribute.labels im UDM zugeordnet.
auth.display_name target.user.user_display_name Der Wert von auth.display_name aus dem Rohprotokoll wird target.user.user_display_name im UDM zugeordnet.
auth.entity_id target.resource.product_object_id Der Wert von auth.entity_id aus dem Rohprotokoll wird target.resource.product_object_id im UDM zugeordnet.
auth.metadata.account_id target.user.userid Der Wert von auth.metadata.account_id aus dem Rohprotokoll wird target.user.userid im UDM zugeordnet.
auth.metadata.auth_type security_result.about.resource.attribute.labels.value Der Wert von auth.metadata.auth_type aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „auth_type“ zugeordnet.
auth.metadata.role_id security_result.about.resource.attribute.labels.value Der Wert von auth.metadata.role_id aus dem Rohprotokoll wird einem Label mit dem Schlüssel „role_id“ unter security_result.about.resource.attribute.labels im UDM zugeordnet.
auth.metadata.role_name target.resource.attribute.roles.name Der Wert von auth.metadata.role_name aus dem Rohprotokoll wird target.resource.attribute.roles.name im UDM zugeordnet.
auth.token_ttl security_result.about.resource.attribute.labels.value Der Wert von auth.token_ttl aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_token_ttl“ unter security_result.about.resource.attribute.labels im UDM zugeordnet.
auth.token_type security_result.about.resource.attribute.labels.value Der Wert von auth.token_type aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „auth_token_type“ zugeordnet.
cluster observer.resource.name Der Wert von cluster aus dem Rohprotokoll wird observer.resource.name im UDM zugeordnet.
error security_result.description Der Wert von error aus dem Rohprotokoll wird security_result.description im UDM zugeordnet.
headers.accept security_result.about.resource.attribute.labels.value Der Wert von headers.accept aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „httpHeaders accept“ zugeordnet.
headers.httpHeaders.cache-control additional.fields.value.string_value Der Wert von headers.httpHeaders.cache-control aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „httpHeaders cache control“ zugeordnet.
headers.snyk-acting-org-public-id principal.resource.attribute.labels.value Der Wert von headers.snyk-acting-org-public-id aus dem Rohprotokoll wird einem Label mit dem Schlüssel „snyk-acting-org-public-id“ unter principal.resource.attribute.labels im UDM zugeordnet.
headers.snyk-flow-name principal.resource.attribute.labels.value Der Wert von headers.snyk-flow-name aus dem Rohprotokoll wird im UDM unter principal.resource.attribute.labels einem Label mit dem Schlüssel „snyk-flow-name“ zugeordnet.
headers.snyk-request-id principal.resource.attribute.labels.value Der Wert von headers.snyk-request-id aus dem Rohprotokoll wird in der UDM unter principal.resource.attribute.labels einem Label mit dem Schlüssel „snyk-request-id“ zugeordnet.
headers.user-agent network.http.parsed_user_agent Der Wert von headers.user-agent aus dem Rohprotokoll wird als User-Agent geparst und in der UDM network.http.parsed_user_agent zugeordnet.
headers.x-forwarded-host principal.hostname Der Wert von headers.x-forwarded-host aus dem Rohprotokoll wird principal.hostname im UDM zugeordnet.
headers.x-forwarded-port principal.port Der Wert von headers.x-forwarded-port aus dem Rohprotokoll wird principal.port im UDM zugeordnet.
headers.x-real-ip principal.ip Der Wert von headers.x-real-ip aus dem Rohprotokoll wird principal.ip im UDM zugeordnet.
hostname observer.hostname Der Wert von hostname aus dem Rohprotokoll wird observer.hostname im UDM zugeordnet.
httpHeaders.cf-cache-status target.resource.attribute.labels.value Der Wert von httpHeaders.cf-cache-status aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „cf-cache-status“ zugeordnet.
httpHeaders.cf-ray target.resource.attribute.labels.value Der Wert von httpHeaders.cf-ray aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „cf-ray“ zugeordnet.
httpHeaders.content-length security_result.about.resource.attribute.labels.value Der Wert von httpHeaders.content-length aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „httpHeaders Content-Length“ zugeordnet.
httpHeaders.content-type security_result.about.resource.attribute.labels.value Der Wert von httpHeaders.content-type aus dem Rohprotokoll wird in der UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „httpHeaders Content-Type“ zugeordnet.
httpHeaders.gitlab-lb target.resource.attribute.labels.value Der Wert von httpHeaders.gitlab-lb aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „gitlab-lb“ zugeordnet.
httpHeaders.gitlab-sv target.resource.attribute.labels.value Der Wert von httpHeaders.gitlab-sv aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „gitlab-sv“ zugeordnet.
httpHeaders.ratelimit-limit target.resource.attribute.labels.value Der Wert von httpHeaders.ratelimit-limit aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-limit“ zugeordnet.
httpHeaders.ratelimit-observed target.resource.attribute.labels.value Der Wert von httpHeaders.ratelimit-observed aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-observed“ zugeordnet.
httpHeaders.ratelimit-remaining target.resource.attribute.labels.value Der Wert von httpHeaders.ratelimit-remaining aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-remaining“ zugeordnet.
httpHeaders.ratelimit-reset target.resource.attribute.labels.value Der Wert von httpHeaders.ratelimit-reset aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-reset“ zugeordnet.
httpHeaders.ratelimit-resettime target.resource.attribute.labels.value Der Wert von httpHeaders.ratelimit-resettime aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-resettime“ zugeordnet.
httpHeaders.referrer-policy target.resource.attribute.labels.value Der Wert von httpHeaders.referrer-policy aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „referrer-policy“ zugeordnet.
httpHeaders.server target.resource.attribute.labels.value Der Wert von httpHeaders.server aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „server“ zugeordnet.
httpHeaders.x-content-type-options target.resource.attribute.labels.value Der Wert von httpHeaders.x-content-type-options aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „x-content-type-options“ zugeordnet.
httpHeaders.x-frame-options target.resource.attribute.labels.value Der Wert von httpHeaders.x-frame-options aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „x-frame-options“ zugeordnet.
httpHeaders.x-request-id target.resource.attribute.labels.value Der Wert von httpHeaders.x-request-id aus dem Rohprotokoll wird einem Label mit dem Schlüssel „x-request-id“ unter target.resource.attribute.labels im UDM zugeordnet.
httpStatus network.http.response_code Der Wert von httpStatus aus dem Rohprotokoll wird network.http.response_code im UDM zugeordnet.
httpUrl target.url Der Wert von httpUrl aus dem Rohprotokoll wird target.url im UDM zugeordnet.
insertId metadata.product_log_id Der Wert von insertId aus dem Rohprotokoll wird metadata.product_log_id im UDM zugeordnet.
job additional.fields.value.string_value Der Wert von job aus dem Rohprotokoll wird einem Feld mit dem Schlüssel „job id“ unter additional.fields im UDM zugeordnet.
job_status additional.fields.value.string_value Der Wert von job_status aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „job_status“ zugeordnet.
labels.compute.googleapis.com/resource_name target.resource.name Der Wert von labels.compute.googleapis.com/resource_name aus dem Rohprotokoll wird target.resource.name im UDM zugeordnet.
labels.k8s-pod/app_kubernetes_io/instance target.resource.attribute.labels.value Der Wert von labels.k8s-pod/app_kubernetes_io/instance aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Kubernetes IO Instance“ zugeordnet.
labels.k8s-pod/app_kubernetes_io/name target.resource.attribute.labels.value Der Wert von labels.k8s-pod/app_kubernetes_io/name aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Kubernetes IO Instance Name“ zugeordnet.
labels.k8s-pod/component target.resource.attribute.labels.value Der Wert von labels.k8s-pod/component aus dem Rohprotokoll wird einem Label mit dem Schlüssel „component“ unter target.resource.attribute.labels im UDM zugeordnet.
labels.k8s-pod/controller-revision-hash target.resource.attribute.labels.value Der Wert von labels.k8s-pod/controller-revision-hash aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Controller Revision Hash“ zugeordnet.
labels.k8s-pod/helm_sh/chart target.resource.attribute.labels.value Der Wert von labels.k8s-pod/helm_sh/chart aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Kubernetes IO Instance Manager SH“ zugeordnet.
labels.k8s-pod/vault-active target.resource.attribute.labels.value Der Wert von labels.k8s-pod/vault-active aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Vault active“ zugeordnet.
labels.k8s-pod/vault-initialized target.resource.attribute.labels.value Der Wert von labels.k8s-pod/vault-initialized aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Vault initialized“ zugeordnet.
labels.k8s-pod/vault-perf-standby target.resource.attribute.labels.value Der Wert von labels.k8s-pod/vault-perf-standby aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „vault perf standby“ zugeordnet.
labels.k8s-pod/vault-sealed target.resource.attribute.labels.value Der Wert von labels.k8s-pod/vault-sealed aus dem Rohprotokoll wird einem Label mit dem Schlüssel „Vault sealed“ unter target.resource.attribute.labels im UDM zugeordnet.
labels.k8s-pod/vault-version target.resource.attribute.labels.value Der Wert von labels.k8s-pod/vault-version aus dem Rohprotokoll wird einem Label mit dem Schlüssel „Vault-Version“ unter target.resource.attribute.labels im UDM zugeordnet.
maskedToken security_result.about.resource.attribute.labels.value Der Wert von maskedToken aus dem Rohprotokoll wird einem Label mit dem Schlüssel „maskedToken“ unter security_result.about.resource.attribute.labels im UDM zugeordnet.
method network.http.method, operation Der Wert von method aus dem Rohprotokoll wird operation zugeordnet. Wenn operation nicht leer ist, wird network.application_protocol auf „HTTP“ gesetzt. network.http.method wird anhand des Werts von operation abgeleitet.
msg metadata.description Der Wert von msg aus dem Rohprotokoll wird metadata.description im UDM zugeordnet.
pid target.process.pid Der Wert von pid aus dem Rohprotokoll wird target.process.pid im UDM zugeordnet.
request.client_token target.resource.attribute.labels.value Der Wert von request.client_token aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_client_token“ zugeordnet.
request.client_token_accessor target.resource.attribute.labels.value Der Wert von request.client_token_accessor aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_client_token_accessor“ zugeordnet.
request.data.role_id target.resource.attribute.labels.value Der Wert von request.data.role_id aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_data_role_id“ zugeordnet.
request.data.secret_id target.resource.attribute.labels.value Der Wert von request.data.secret_id aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_data_secret_id“ zugeordnet.
request.id network.session_id Der Wert von request.id aus dem Rohprotokoll wird network.session_id im UDM zugeordnet.
request.mount_accessor target.resource.attribute.labels.value Der Wert von request.mount_accessor aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_mount_accessor“ unter target.resource.attribute.labels im UDM zugeordnet.
request.mount_type target.resource.attribute.labels.value Der Wert von request.mount_type aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_mount_type“ unter target.resource.attribute.labels im UDM zugeordnet.
request.namespace.id target.namespace Der Wert von request.namespace.id aus dem Rohprotokoll wird target.namespace im UDM zugeordnet.
request.operation target.resource.attribute.labels.value, network.http.method, operation Der Wert von request.operation aus dem Rohprotokoll wird operation zugeordnet. Wenn operation nicht leer ist, wird network.application_protocol auf „HTTP“ gesetzt. network.http.method wird anhand des Werts von operation abgeleitet. Der Wert von request.operation wird auch einem Label mit dem Schlüssel „capabilities“ unter target.resource.attribute.labels im UDM zugeordnet.
request.path target.url Der Wert von request.path aus dem Rohprotokoll wird target.url im UDM zugeordnet.
request.remote_address principal.ip Der Wert von request.remote_address aus dem Rohprotokoll wird principal.ip im UDM zugeordnet.
request.remote_port principal.port Der Wert von request.remote_port aus dem Rohprotokoll wird principal.port im UDM zugeordnet.
request.wrap_ttl target.resource.attribute.labels.value Der Wert von request.wrap_ttl aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_wrap_ttl“ unter target.resource.attribute.labels im UDM zugeordnet.
resource.labels.container_name additional.fields.value.string_value Der Wert von resource.labels.container_name aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „container name“ zugeordnet.
resource.labels.location target.location.name Der Wert von resource.labels.location aus dem Rohprotokoll wird target.location.name im UDM zugeordnet.
resource.labels.namespace_name target.namespace Der Wert von resource.labels.namespace_name aus dem Rohprotokoll wird target.namespace im UDM zugeordnet.
resource.labels.pod_name additional.fields.value.string_value Der Wert von resource.labels.pod_name aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „pod_name“ zugeordnet.
resource.labels.project_id target.cloud.project.name Der Wert von resource.labels.project_id aus dem Rohprotokoll wird target.cloud.project.name im UDM zugeordnet.
response.data.num_uses target.resource.attribute.labels.value Der Wert von response.data.num_uses aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_num_uses“ zugeordnet.
response.data.orphan target.resource.attribute.labels.value Der Wert von response.data.orphan aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_orphan“ zugeordnet.
response.data.renewable target.resource.attribute.labels.value Der Wert von response.data.renewable aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_renewable“ zugeordnet.
response.data.ttl target.resource.attribute.labels.value Der Wert von response.data.ttl aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_ttl“ zugeordnet.
response.wrap_info.accessor target.resource.attribute.labels.value Der Wert von response.wrap_info.accessor aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_accessor“ zugeordnet.
response.wrap_info.token target.resource.attribute.labels.value Der Wert von response.wrap_info.token aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_token“ zugeordnet.
response.wrap_info.ttl target.resource.attribute.labels.value Der Wert von response.wrap_info.ttl aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_ttl“ zugeordnet.
response.wrap_info.wrapped_accessor target.resource.attribute.labels.value Der Wert von response.wrap_info.wrapped_accessor aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_wrapped_accessor“ zugeordnet.
runner principal.user.userid Der Wert von runner aus dem Rohprotokoll wird principal.user.userid im UDM zugeordnet.
status network.http.response_code Der Wert von status aus dem Rohprotokoll wird network.http.response_code im UDM zugeordnet.
streamingID target.resource.attribute.labels.value Der Wert von streamingID aus dem Rohprotokoll wird einem Label mit dem Schlüssel „streamingID“ unter target.resource.attribute.labels im UDM zugeordnet.
time metadata.event_timestamp.seconds, metadata.event_timestamp.nanos Der Wert von time aus dem Rohprotokoll wird analysiert und zum Ausfüllen des Felds metadata.event_timestamp im UDM verwendet.
type metadata.product_event_type Der Wert von type aus dem Rohprotokoll wird metadata.product_event_type im UDM zugeordnet.
url principal.url Der Wert von url aus dem Rohprotokoll wird principal.url im UDM zugeordnet. Dem Attribut extensions.auth.type im UDM wird der Wert „MACHINE“ zugewiesen. Dem Wert „USER_LOGIN“ wird metadata.event_type in der UDM zugewiesen. Dem Attribut metadata.log_type im UDM wird der Wert „HASHICORP“ zugewiesen. Dem Attribut metadata.product_name im UDM wird der Wert „HASHICORP“ zugewiesen. Dem Attribut metadata.vendor_name im UDM wird der Wert „HASHICORP“ zugewiesen. Der Wert „SERVICE_ACCOUNT“ ist target.resource.attribute.roles.type im UDM zugewiesen.

Änderungen

2023-10-26

  • Es wurde ein Grok-Muster zum Verarbeiten von SYSLOG- und JSON-Logs hinzugefügt.

2023-09-22

  • Die Zuordnung für „request.remote_port“ wurde von „target.port“ zu „principal.port“ geändert.
  • Die Zuordnung für „request.remote_address“ wurde von „target.ip“ zu „principal.ip“ geändert.
  • „error“ wurde in „security_result.description“ zugeordnet.
  • „resource.labels.namespace_name“ wurde in „target.namespace“ umgewandelt.
  • „resource.labels.pod_name“ und „resource.labels.container_name“ wurden in „additional.fields“ zugeordnet.
  • „resource.labels.project_id“ wurde in „target.cloud.project.name“ umgewandelt.
  • „resource.labels.location“ wurde „target.location.name“ zugeordnet.
  • „insertId“ wurde „metadata.product_log_id“ zugeordnet.
  • „labels.k8s-pod/app_kubernetes_io/instance“, „labels.k8s-pod/app_kubernetes_io/name“, „labels.k8s-pod/component“, „labels.k8s-pod/helm_sh/chart“, „labels.k8s-pod/controller-revision-hash“, „labels.k8s-pod/vault-initialized“, „labels.k8s-pod/vault-version“, „labels.k8s-pod/vault-sealed“, „labels.k8s-pod/vault-perf-standby“ und „labels.k8s-pod/vault-active“ wurden in „target.resource.attribute.labels“ umgewandelt.
  • „labels.compute.googleapis.com/resource_name“ wurde in „target.resource.name“ umgewandelt.

2023-04-26

  • Es wurde ein Grok-Muster zum Verarbeiten von syslog-Protokollen hinzugefügt.
  • „status“ wurde in „network.http.response_code“ geändert.
  • „runner“ wurde „principal.user.userid“ zugeordnet
  • „job_id“ und „job_status“ wurden „additional.fields“ zugeordnet.

2023-03-24

  • „host“ wurde „observer.hostname“ zugeordnet.
  • „cluster“ wurde „observer.resource.name“ zugeordnet.
  • Wenn das Protokoll einen Cluster enthält, wird „cluster“ mit „observer.resource.resource_type“ abgeglichen.
  • JSON-Block zum Abrufen von Daten aus dem Feld „_raw“ hinzugefügt.
  • „httpStatus“ wurde auf „network.http.response_code“ zugeordnet.
  • „httpUrl“ ist mit „target.url“ verknüpft.
  • „pid“ ist „target.process.pid“ zugeordnet.
  • „msg“ ist mit „metadata.description“ verknüpft.
  • „url“ ist mit „principal.url“ verknüpft.
  • „hostname“ wird „observer.hostname“ zugeordnet.
  • „streamingID“, „requestId“, „httpHeaders.cf-cache-status“, „httpHeaders.cf-ray“, „httpHeaders.gitlab-lb“, „httpHeaders.gitlab-sv“, „httpHeaders.x-request-id“, „httpHeaders.x-content-type-options“, „httpHeaders.x-frame-options“, „httpHeaders.ratelimit-limit“, „httpHeaders.ratelimit-observed“, „httpHeaders.ratelimit-remaining“, „httpHeaders.ratelimit-reset“, „httpHeaders.ratelimit-resettime“, „httpHeaders.server“, „httpHeaders.referrer-policy“ werden auf „target.resource.attribute.labels“ zugeordnet.
  • „method“ wurde auf „network.application_protocol“ zugeordnet.
  • „headers.user-agent“ wird auf „network.http.parsed_user_agent“ zugeordnet.
  • „httpHeaders.cache-control“ wurde auf „additional.fields“ zugeordnet.
  • „httpHeaders.content-type“, „httpHeaders.content-length“, „maskedToken“ und „headers.accept“ werden auf „security_result.about.resource.attribute.labels“ zugeordnet.
  • „headers.x-real-ip“ ist auf „principal.ip“ zugeordnet.
  • „headers.x-forwarded-host“ wurde auf „principal.hostname“ zugeordnet.
  • „headers.x-forwarded-port“ ist auf „principal.port“ zugeordnet.
  • „headers.snyk-acting-org-public-id“, „headers.snyk-flow-name“ und „headers.snyk-request-id“ werden auf „principal.resource.attribute.labels“ zugeordnet.

2023-02-09

  • Neu erstellter Parser.