Diese Seite wurde von der Cloud Translation API übersetzt.

HashiCorp-Audit-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser verarbeitet HashiCorp-Audit-Logs im JSON-, Syslog- oder kombinierten Format. Es werden Felder extrahiert, Grok- und KV-Parsing sowohl für Standard- als auch für „Runner“-Nachrichten ausgeführt, JSON-Nutzlast verarbeitet und die extrahierten Daten dem UDM zugeordnet. Der Parser umfasst auch die Fehlerbehandlung und das Löschen fehlerhafter Protokolle.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für HCP.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei für die Datenaufnahmeauthentifizierung herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profile.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

Rufen Sie den Computer auf, auf dem der Bindplane-Agent installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: auditd
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden:
```
sudo systemctl restart bindplane
```

Syslog für HCP Vault aktivieren

Melde dich im HCP-Portal an.
Gehen Sie zu Vault-Cluster.
Wählen Sie in der Liste der bereitgestellten Cluster Ihren Vault-Cluster aus.
Suchen Sie auf der Seite Clusterübersicht nach der Vault-Adresse und kopieren Sie sie (z. B. https://vault-cluster-name.hashicorpcloud.com:8200).
Gehen Sie zum Abschnitt Zugriffsdetails und kopieren Sie das Root-Token.

Vault-Befehlszeile installieren

Für Linux:

curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
sudo apt update && sudo apt install vault

macOS (mit Homebrew):

brew tap hashicorp/tap
brew install hashicorp/tap/vault

Für Windows:

Download the executable file.
Extract it and add the Vault binary to your system's PATH.

Prüfen Sie die Installation der Vault-Befehlszeile mit folgendem Befehl:
```
vault --version
```

HCP Vault mit der Befehlszeile konfigurieren, um Prüfprotokolle an Bindplane zu senden

Öffnen Sie das Terminal oder die Eingabeaufforderung.

Legen Sie die Vault-Serveradresse mit der Umgebungsvariablen fest:

export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"

Melden Sie sich mit dem Root-Token in Vault an:
```
vault login <root-token>
```

Syslog-Pfad zu einem externen Syslog-Socket konfigurieren

Führen Sie den folgenden Befehl aus, um syslog zu aktivieren und an den Bindplane-Agenten zu senden:

vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"

Bestätigen Sie die neue Konfiguration:
```
vault audit list
```
Die Ausgabe sollte die neue Socket-Konfiguration enthalten.

Optional: Einrichtung mit Terraform automatisieren:

Erstellen Sie eine Terraform-Konfigurationsdatei (audit.tf):

resource "vault_audit" "syslog" {
  type        = "syslog"
  description = "Syslog audit logs"
  options = {
    tag      = "vault"
    facility = "LOCAL0"
  }
}

resource "vault_audit" "socket" {
  type        = "socket"
  description = "Remote syslog socket"
  options = {
    address     = "udp://<syslog-server-ip>:514"
    socket_type = "udp"
    tag         = "vault"
  }
}

Wenden Sie die Konfiguration an:

terraform init
terraform apply

Fehlerbehebungsprotokolle wurden nicht empfangen

Prüfen Sie, ob der Syslog-Server erreichbar ist:
```
ping <syslog-server-ip>
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`auth.accessor`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.accessor` aus dem Rohprotokoll wird in der UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „auth_accessor“ zugeordnet.
`auth.client_token`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.client_token` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_client_token“ unter `security_result.about.resource.attribute.labels` im UDM zugeordnet.
`auth.display_name`	`target.user.user_display_name`	Der Wert von `auth.display_name` aus dem Rohprotokoll wird `target.user.user_display_name` im UDM zugeordnet.
`auth.entity_id`	`target.resource.product_object_id`	Der Wert von `auth.entity_id` aus dem Rohprotokoll wird `target.resource.product_object_id` im UDM zugeordnet.
`auth.metadata.account_id`	`target.user.userid`	Der Wert von `auth.metadata.account_id` aus dem Rohprotokoll wird `target.user.userid` im UDM zugeordnet.
`auth.metadata.auth_type`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.metadata.auth_type` aus dem Rohprotokoll wird im UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „auth_type“ zugeordnet.
`auth.metadata.role_id`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.metadata.role_id` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „role_id“ unter `security_result.about.resource.attribute.labels` im UDM zugeordnet.
`auth.metadata.role_name`	`target.resource.attribute.roles.name`	Der Wert von `auth.metadata.role_name` aus dem Rohprotokoll wird `target.resource.attribute.roles.name` im UDM zugeordnet.
`auth.token_ttl`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.token_ttl` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_token_ttl“ unter `security_result.about.resource.attribute.labels` im UDM zugeordnet.
`auth.token_type`	`security_result.about.resource.attribute.labels.value`	Der Wert von `auth.token_type` aus dem Rohprotokoll wird im UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „auth_token_type“ zugeordnet.
`cluster`	`observer.resource.name`	Der Wert von `cluster` aus dem Rohprotokoll wird `observer.resource.name` im UDM zugeordnet.
`error`	`security_result.description`	Der Wert von `error` aus dem Rohprotokoll wird `security_result.description` im UDM zugeordnet.
`headers.accept`	`security_result.about.resource.attribute.labels.value`	Der Wert von `headers.accept` aus dem Rohprotokoll wird im UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „httpHeaders accept“ zugeordnet.
`headers.httpHeaders.cache-control`	`additional.fields.value.string_value`	Der Wert von `headers.httpHeaders.cache-control` aus dem Rohprotokoll wird im UDM unter `additional.fields` einem Feld mit dem Schlüssel „httpHeaders cache control“ zugeordnet.
`headers.snyk-acting-org-public-id`	`principal.resource.attribute.labels.value`	Der Wert von `headers.snyk-acting-org-public-id` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „snyk-acting-org-public-id“ unter `principal.resource.attribute.labels` im UDM zugeordnet.
`headers.snyk-flow-name`	`principal.resource.attribute.labels.value`	Der Wert von `headers.snyk-flow-name` aus dem Rohprotokoll wird im UDM unter `principal.resource.attribute.labels` einem Label mit dem Schlüssel „snyk-flow-name“ zugeordnet.
`headers.snyk-request-id`	`principal.resource.attribute.labels.value`	Der Wert von `headers.snyk-request-id` aus dem Rohprotokoll wird in der UDM unter `principal.resource.attribute.labels` einem Label mit dem Schlüssel „snyk-request-id“ zugeordnet.
`headers.user-agent`	`network.http.parsed_user_agent`	Der Wert von `headers.user-agent` aus dem Rohprotokoll wird als User-Agent geparst und in der UDM `network.http.parsed_user_agent` zugeordnet.
`headers.x-forwarded-host`	`principal.hostname`	Der Wert von `headers.x-forwarded-host` aus dem Rohprotokoll wird `principal.hostname` im UDM zugeordnet.
`headers.x-forwarded-port`	`principal.port`	Der Wert von `headers.x-forwarded-port` aus dem Rohprotokoll wird `principal.port` im UDM zugeordnet.
`headers.x-real-ip`	`principal.ip`	Der Wert von `headers.x-real-ip` aus dem Rohprotokoll wird `principal.ip` im UDM zugeordnet.
`hostname`	`observer.hostname`	Der Wert von `hostname` aus dem Rohprotokoll wird `observer.hostname` im UDM zugeordnet.
`httpHeaders.cf-cache-status`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.cf-cache-status` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „cf-cache-status“ zugeordnet.
`httpHeaders.cf-ray`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.cf-ray` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „cf-ray“ zugeordnet.
`httpHeaders.content-length`	`security_result.about.resource.attribute.labels.value`	Der Wert von `httpHeaders.content-length` aus dem Rohprotokoll wird im UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „httpHeaders Content-Length“ zugeordnet.
`httpHeaders.content-type`	`security_result.about.resource.attribute.labels.value`	Der Wert von `httpHeaders.content-type` aus dem Rohprotokoll wird in der UDM unter `security_result.about.resource.attribute.labels` einem Label mit dem Schlüssel „httpHeaders Content-Type“ zugeordnet.
`httpHeaders.gitlab-lb`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.gitlab-lb` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „gitlab-lb“ zugeordnet.
`httpHeaders.gitlab-sv`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.gitlab-sv` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „gitlab-sv“ zugeordnet.
`httpHeaders.ratelimit-limit`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-limit` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „ratelimit-limit“ zugeordnet.
`httpHeaders.ratelimit-observed`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-observed` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „ratelimit-observed“ zugeordnet.
`httpHeaders.ratelimit-remaining`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-remaining` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „ratelimit-remaining“ zugeordnet.
`httpHeaders.ratelimit-reset`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-reset` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „ratelimit-reset“ zugeordnet.
`httpHeaders.ratelimit-resettime`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.ratelimit-resettime` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „ratelimit-resettime“ zugeordnet.
`httpHeaders.referrer-policy`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.referrer-policy` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „referrer-policy“ zugeordnet.
`httpHeaders.server`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.server` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „server“ zugeordnet.
`httpHeaders.x-content-type-options`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.x-content-type-options` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „x-content-type-options“ zugeordnet.
`httpHeaders.x-frame-options`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.x-frame-options` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „x-frame-options“ zugeordnet.
`httpHeaders.x-request-id`	`target.resource.attribute.labels.value`	Der Wert von `httpHeaders.x-request-id` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „x-request-id“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`httpStatus`	`network.http.response_code`	Der Wert von `httpStatus` aus dem Rohprotokoll wird `network.http.response_code` im UDM zugeordnet.
`httpUrl`	`target.url`	Der Wert von `httpUrl` aus dem Rohprotokoll wird `target.url` im UDM zugeordnet.
`insertId`	`metadata.product_log_id`	Der Wert von `insertId` aus dem Rohprotokoll wird `metadata.product_log_id` im UDM zugeordnet.
`job`	`additional.fields.value.string_value`	Der Wert von `job` aus dem Rohprotokoll wird einem Feld mit dem Schlüssel „job id“ unter `additional.fields` im UDM zugeordnet.
`job_status`	`additional.fields.value.string_value`	Der Wert von `job_status` aus dem Rohprotokoll wird im UDM unter `additional.fields` einem Feld mit dem Schlüssel „job_status“ zugeordnet.
`labels.compute.googleapis.com/resource_name`	`target.resource.name`	Der Wert von `labels.compute.googleapis.com/resource_name` aus dem Rohprotokoll wird `target.resource.name` im UDM zugeordnet.
`labels.k8s-pod/app_kubernetes_io/instance`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/app_kubernetes_io/instance` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Kubernetes IO Instance“ zugeordnet.
`labels.k8s-pod/app_kubernetes_io/name`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/app_kubernetes_io/name` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Kubernetes IO Instance Name“ zugeordnet.
`labels.k8s-pod/component`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/component` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „component“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`labels.k8s-pod/controller-revision-hash`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/controller-revision-hash` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Controller Revision Hash“ zugeordnet.
`labels.k8s-pod/helm_sh/chart`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/helm_sh/chart` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Kubernetes IO Instance Manager SH“ zugeordnet.
`labels.k8s-pod/vault-active`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-active` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Vault active“ zugeordnet.
`labels.k8s-pod/vault-initialized`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-initialized` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Vault initialized“ zugeordnet.
`labels.k8s-pod/vault-perf-standby`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-perf-standby` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „vault perf standby“ zugeordnet.
`labels.k8s-pod/vault-sealed`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-sealed` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „Vault sealed“ zugeordnet.
`labels.k8s-pod/vault-version`	`target.resource.attribute.labels.value`	Der Wert von `labels.k8s-pod/vault-version` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „Vault-Version“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`maskedToken`	`security_result.about.resource.attribute.labels.value`	Der Wert von `maskedToken` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „maskedToken“ unter `security_result.about.resource.attribute.labels` im UDM zugeordnet.
`method`	`network.http.method`, `operation`	Der Wert von `method` aus dem Rohprotokoll wird `operation` zugeordnet. Wenn `operation` nicht leer ist, wird `network.application_protocol` auf „HTTP“ gesetzt. `network.http.method` wird anhand des Werts von `operation` abgeleitet.
`msg`	`metadata.description`	Der Wert von `msg` aus dem Rohprotokoll wird `metadata.description` im UDM zugeordnet.
`pid`	`target.process.pid`	Der Wert von `pid` aus dem Rohprotokoll wird `target.process.pid` im UDM zugeordnet.
`request.client_token`	`target.resource.attribute.labels.value`	Der Wert von `request.client_token` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „request_client_token“ zugeordnet.
`request.client_token_accessor`	`target.resource.attribute.labels.value`	Der Wert von `request.client_token_accessor` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „request_client_token_accessor“ zugeordnet.
`request.data.role_id`	`target.resource.attribute.labels.value`	Der Wert von `request.data.role_id` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „request_data_role_id“ zugeordnet.
`request.data.secret_id`	`target.resource.attribute.labels.value`	Der Wert von `request.data.secret_id` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „request_data_secret_id“ zugeordnet.
`request.id`	`network.session_id`	Der Wert von `request.id` aus dem Rohprotokoll wird `network.session_id` im UDM zugeordnet.
`request.mount_accessor`	`target.resource.attribute.labels.value`	Der Wert von `request.mount_accessor` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_mount_accessor“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`request.mount_type`	`target.resource.attribute.labels.value`	Der Wert von `request.mount_type` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_mount_type“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`request.namespace.id`	`target.namespace`	Der Wert von `request.namespace.id` aus dem Rohprotokoll wird `target.namespace` im UDM zugeordnet.
`request.operation`	`target.resource.attribute.labels.value`, `network.http.method`, `operation`	Der Wert von `request.operation` aus dem Rohprotokoll wird `operation` zugeordnet. Wenn `operation` nicht leer ist, wird `network.application_protocol` auf „HTTP“ gesetzt. `network.http.method` wird anhand des Werts von `operation` abgeleitet. Der Wert von `request.operation` wird auch einem Label mit dem Schlüssel „capabilities“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`request.path`	`target.url`	Der Wert von `request.path` aus dem Rohprotokoll wird `target.url` im UDM zugeordnet.
`request.remote_address`	`principal.ip`	Der Wert von `request.remote_address` aus dem Rohprotokoll wird `principal.ip` im UDM zugeordnet.
`request.remote_port`	`principal.port`	Der Wert von `request.remote_port` aus dem Rohprotokoll wird `principal.port` im UDM zugeordnet.
`request.wrap_ttl`	`target.resource.attribute.labels.value`	Der Wert von `request.wrap_ttl` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_wrap_ttl“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`resource.labels.container_name`	`additional.fields.value.string_value`	Der Wert von `resource.labels.container_name` aus dem Rohprotokoll wird im UDM unter `additional.fields` einem Feld mit dem Schlüssel „container name“ zugeordnet.
`resource.labels.location`	`target.location.name`	Der Wert von `resource.labels.location` aus dem Rohprotokoll wird `target.location.name` im UDM zugeordnet.
`resource.labels.namespace_name`	`target.namespace`	Der Wert von `resource.labels.namespace_name` aus dem Rohprotokoll wird `target.namespace` im UDM zugeordnet.
`resource.labels.pod_name`	`additional.fields.value.string_value`	Der Wert von `resource.labels.pod_name` aus dem Rohprotokoll wird im UDM unter `additional.fields` einem Feld mit dem Schlüssel „pod_name“ zugeordnet.
`resource.labels.project_id`	`target.cloud.project.name`	Der Wert von `resource.labels.project_id` aus dem Rohprotokoll wird `target.cloud.project.name` im UDM zugeordnet.
`response.data.num_uses`	`target.resource.attribute.labels.value`	Der Wert von `response.data.num_uses` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_data_num_uses“ zugeordnet.
`response.data.orphan`	`target.resource.attribute.labels.value`	Der Wert von `response.data.orphan` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_data_orphan“ zugeordnet.
`response.data.renewable`	`target.resource.attribute.labels.value`	Der Wert von `response.data.renewable` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_data_renewable“ zugeordnet.
`response.data.ttl`	`target.resource.attribute.labels.value`	Der Wert von `response.data.ttl` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_data_ttl“ zugeordnet.
`response.wrap_info.accessor`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.accessor` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_wrap_info_accessor“ zugeordnet.
`response.wrap_info.token`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.token` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_wrap_info_token“ zugeordnet.
`response.wrap_info.ttl`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.ttl` aus dem Rohprotokoll wird im UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_wrap_info_ttl“ zugeordnet.
`response.wrap_info.wrapped_accessor`	`target.resource.attribute.labels.value`	Der Wert von `response.wrap_info.wrapped_accessor` aus dem Rohprotokoll wird in der UDM unter `target.resource.attribute.labels` einem Label mit dem Schlüssel „response_wrap_info_wrapped_accessor“ zugeordnet.
`runner`	`principal.user.userid`	Der Wert von `runner` aus dem Rohprotokoll wird `principal.user.userid` im UDM zugeordnet.
`status`	`network.http.response_code`	Der Wert von `status` aus dem Rohprotokoll wird `network.http.response_code` im UDM zugeordnet.
`streamingID`	`target.resource.attribute.labels.value`	Der Wert von `streamingID` aus dem Rohprotokoll wird einem Label mit dem Schlüssel „streamingID“ unter `target.resource.attribute.labels` im UDM zugeordnet.
`time`	`metadata.event_timestamp.seconds`, `metadata.event_timestamp.nanos`	Der Wert von `time` aus dem Rohprotokoll wird analysiert und zum Ausfüllen des Felds `metadata.event_timestamp` im UDM verwendet.
`type`	`metadata.product_event_type`	Der Wert von `type` aus dem Rohprotokoll wird `metadata.product_event_type` im UDM zugeordnet.
`url`	`principal.url`	Der Wert von `url` aus dem Rohprotokoll wird `principal.url` im UDM zugeordnet. Dem Attribut `extensions.auth.type` im UDM wird der Wert „MACHINE“ zugewiesen. Dem Wert „USER_LOGIN“ wird `metadata.event_type` in der UDM zugewiesen. Dem Attribut `metadata.log_type` im UDM wird der Wert „HASHICORP“ zugewiesen. Dem Attribut `metadata.product_name` im UDM wird der Wert „HASHICORP“ zugewiesen. Dem Attribut `metadata.vendor_name` im UDM wird der Wert „HASHICORP“ zugewiesen. Der Wert „SERVICE_ACCOUNT“ ist `target.resource.attribute.roles.type` im UDM zugewiesen.

Änderungen

2023-10-26

Es wurde ein Grok-Muster zum Verarbeiten von SYSLOG- und JSON-Logs hinzugefügt.

2023-09-22

Die Zuordnung für „request.remote_port“ wurde von „target.port“ zu „principal.port“ geändert.
Die Zuordnung für „request.remote_address“ wurde von „target.ip“ zu „principal.ip“ geändert.
„error“ wurde in „security_result.description“ geändert.
„resource.labels.namespace_name“ wurde in „target.namespace“ umgewandelt.
„resource.labels.pod_name“ und „resource.labels.container_name“ wurden in „additional.fields“ zugeordnet.
„resource.labels.project_id“ wurde in „target.cloud.project.name“ umgewandelt.
„resource.labels.location“ wurde „target.location.name“ zugeordnet.
„insertId“ wurde „metadata.product_log_id“ zugeordnet.
„labels.k8s-pod/app_kubernetes_io/instance“, „labels.k8s-pod/app_kubernetes_io/name“, „labels.k8s-pod/component“, „labels.k8s-pod/helm_sh/chart“, „labels.k8s-pod/controller-revision-hash“, „labels.k8s-pod/vault-initialized“, „labels.k8s-pod/vault-version“, „labels.k8s-pod/vault-sealed“, „labels.k8s-pod/vault-perf-standby“ und „labels.k8s-pod/vault-active“ wurden in „target.resource.attribute.labels“ umgewandelt.
„labels.compute.googleapis.com/resource_name“ wurde in „target.resource.name“ umgewandelt.

2023-04-26

Es wurde ein Grok-Muster zum Verarbeiten von syslog-Protokollen hinzugefügt.
„status“ wurde in „network.http.response_code“ geändert.
„runner“ wurde „principal.user.userid“ zugeordnet
„job_id“ und „job_status“ wurden „additional.fields“ zugeordnet.

2023-03-24

„host“ wurde „observer.hostname“ zugeordnet.
„cluster“ wurde „observer.resource.name“ zugeordnet.
Wenn das Protokoll einen Cluster enthält, wird „cluster“ mit „observer.resource.resource_type“ abgeglichen.
JSON-Block zum Abrufen von Daten aus dem Feld „_raw“ hinzugefügt.
„httpStatus“ wurde auf „network.http.response_code“ zugeordnet.
„httpUrl“ ist mit „target.url“ verknüpft.
„pid“ ist „target.process.pid“ zugeordnet.
„msg“ ist mit „metadata.description“ verknüpft.
„url“ ist mit „principal.url“ verknüpft.
„hostname“ wird „observer.hostname“ zugeordnet.
„streamingID“, „requestId“, „httpHeaders.cf-cache-status“, „httpHeaders.cf-ray“, „httpHeaders.gitlab-lb“, „httpHeaders.gitlab-sv“, „httpHeaders.x-request-id“, „httpHeaders.x-content-type-options“, „httpHeaders.x-frame-options“, „httpHeaders.ratelimit-limit“, „httpHeaders.ratelimit-observed“, „httpHeaders.ratelimit-remaining“, „httpHeaders.ratelimit-reset“, „httpHeaders.ratelimit-resettime“, „httpHeaders.server“, „httpHeaders.referrer-policy“ werden auf „target.resource.attribute.labels“ zugeordnet.
„method“ wurde auf „network.application_protocol“ zugeordnet.
„headers.user-agent“ wird auf „network.http.parsed_user_agent“ zugeordnet.
„httpHeaders.cache-control“ wurde auf „additional.fields“ zugeordnet.
„httpHeaders.content-type“, „httpHeaders.content-length“, „maskedToken“ und „headers.accept“ werden auf „security_result.about.resource.attribute.labels“ zugeordnet.
„headers.x-real-ip“ ist auf „principal.ip“ zugeordnet.
„headers.x-forwarded-host“ wurde auf „principal.hostname“ zugeordnet.
„headers.x-forwarded-port“ ist auf „principal.port“ zugeordnet.
„headers.snyk-acting-org-public-id“, „headers.snyk-flow-name“ und „headers.snyk-request-id“ werden auf „principal.resource.attribute.labels“ zugeordnet.

2023-02-09

Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten