HashiCorp-Audit-Logs erfassen
Dieser Parser verarbeitet HashiCorp-Audit-Logs im JSON-, Syslog- oder kombinierten Format. Es werden Felder extrahiert, Grok- und KV-Parsing sowohl für Standard- als auch für „Runner“-Nachrichten ausgeführt, JSON-Nutzlast verarbeitet und die extrahierten Daten dem UDM zugeordnet. Der Parser umfasst auch die Fehlerbehandlung und das Löschen fehlerhafter Protokolle.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen erhöhte Zugriffsrechte für HCP.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yaml
so:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: auditd raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
sudo systemctl restart bindplane
Syslog für HCP Vault aktivieren
- Melde dich im HCP-Portal an.
- Gehen Sie zu Vault-Cluster.
- Wählen Sie Ihren Vault-Cluster aus der Liste der bereitgestellten Cluster aus.
- Suchen Sie auf der Seite Clusterübersicht die Vault-Adresse und kopieren Sie sie (z. B. https://vault-cluster-name.hashicorpcloud.com:8200).
- Gehen Sie zum Abschnitt Zugriffsdetails und kopieren Sie das Root-Token.
Vault-Befehlszeile installieren
Für Linux:
curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list sudo apt update && sudo apt install vault
macOS (mit Homebrew):
brew tap hashicorp/tap brew install hashicorp/tap/vault
Für Windows:
Download the executable file. Extract it and add the Vault binary to your system's PATH.
Prüfen Sie die Installation der Vault-Befehlszeile mit folgendem Befehl:
vault --version
HCP Vault mit der Befehlszeile konfigurieren, um Prüfprotokolle an BindPlane zu senden
- Öffnen Sie das Terminal oder die Eingabeaufforderung.
Legen Sie die Vault-Serveradresse mit der Umgebungsvariablen fest:
export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
Melden Sie sich mit dem Root-Token in Vault an:
vault login <root-token>
Syslog-Pfad zu einem externen Syslog-Socket konfigurieren
Führen Sie den folgenden Befehl aus, um syslog zu aktivieren und an BindPlane zu senden:
vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
Bestätigen Sie die neue Konfiguration:
vault audit list
Die Ausgabe sollte die neue Socket-Konfiguration enthalten.
Optional: Einrichtung mit Terraform automatisieren:
- Erstellen Sie eine Terraform-Konfigurationsdatei (audit.tf):
resource "vault_audit" "syslog" { type = "syslog" description = "Syslog audit logs" options = { tag = "vault" facility = "LOCAL0" } } resource "vault_audit" "socket" { type = "socket" description = "Remote syslog socket" options = { address = "udp://<syslog-server-ip>:514" socket_type = "udp" tag = "vault" } }
- Wenden Sie die Konfiguration an:
terraform init terraform apply
Fehlerbehebungsprotokolle wurden nicht empfangen
Prüfen Sie, ob der Syslog-Server erreichbar ist:
ping <syslog-server-ip>
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
auth.accessor |
security_result.about.resource.attribute.labels.value |
Der Wert von auth.accessor aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_accessor“ unter security_result.about.resource.attribute.labels im UDM zugeordnet. |
auth.client_token |
security_result.about.resource.attribute.labels.value |
Der Wert von auth.client_token aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_client_token“ unter security_result.about.resource.attribute.labels im UDM zugeordnet. |
auth.display_name |
target.user.user_display_name |
Der Wert von auth.display_name aus dem Rohprotokoll wird target.user.user_display_name im UDM zugeordnet. |
auth.entity_id |
target.resource.product_object_id |
Der Wert von auth.entity_id aus dem Rohprotokoll wird target.resource.product_object_id im UDM zugeordnet. |
auth.metadata.account_id |
target.user.userid |
Der Wert von auth.metadata.account_id aus dem Rohprotokoll wird target.user.userid im UDM zugeordnet. |
auth.metadata.auth_type |
security_result.about.resource.attribute.labels.value |
Der Wert von auth.metadata.auth_type aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „auth_type“ zugeordnet. |
auth.metadata.role_id |
security_result.about.resource.attribute.labels.value |
Der Wert von auth.metadata.role_id aus dem Rohprotokoll wird einem Label mit dem Schlüssel „role_id“ unter security_result.about.resource.attribute.labels im UDM zugeordnet. |
auth.metadata.role_name |
target.resource.attribute.roles.name |
Der Wert von auth.metadata.role_name aus dem Rohprotokoll wird target.resource.attribute.roles.name im UDM zugeordnet. |
auth.token_ttl |
security_result.about.resource.attribute.labels.value |
Der Wert von auth.token_ttl aus dem Rohprotokoll wird einem Label mit dem Schlüssel „auth_token_ttl“ unter security_result.about.resource.attribute.labels im UDM zugeordnet. |
auth.token_type |
security_result.about.resource.attribute.labels.value |
Der Wert von auth.token_type aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „auth_token_type“ zugeordnet. |
cluster |
observer.resource.name |
Der Wert von cluster aus dem Rohprotokoll wird observer.resource.name im UDM zugeordnet. |
error |
security_result.description |
Der Wert von error aus dem Rohprotokoll wird security_result.description im UDM zugeordnet. |
headers.accept |
security_result.about.resource.attribute.labels.value |
Der Wert von headers.accept aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „httpHeaders accept“ zugeordnet. |
headers.httpHeaders.cache-control |
additional.fields.value.string_value |
Der Wert von headers.httpHeaders.cache-control aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „httpHeaders cache control“ zugeordnet. |
headers.snyk-acting-org-public-id |
principal.resource.attribute.labels.value |
Der Wert von headers.snyk-acting-org-public-id aus dem Rohprotokoll wird einem Label mit dem Schlüssel „snyk-acting-org-public-id“ unter principal.resource.attribute.labels im UDM zugeordnet. |
headers.snyk-flow-name |
principal.resource.attribute.labels.value |
Der Wert von headers.snyk-flow-name aus dem Rohprotokoll wird im UDM unter principal.resource.attribute.labels einem Label mit dem Schlüssel „snyk-flow-name“ zugeordnet. |
headers.snyk-request-id |
principal.resource.attribute.labels.value |
Der Wert von headers.snyk-request-id aus dem Rohprotokoll wird in der UDM unter principal.resource.attribute.labels einem Label mit dem Schlüssel „snyk-request-id“ zugeordnet. |
headers.user-agent |
network.http.parsed_user_agent |
Der Wert von headers.user-agent aus dem Rohprotokoll wird als User-Agent geparst und in der UDM network.http.parsed_user_agent zugeordnet. |
headers.x-forwarded-host |
principal.hostname |
Der Wert von headers.x-forwarded-host aus dem Rohprotokoll wird principal.hostname im UDM zugeordnet. |
headers.x-forwarded-port |
principal.port |
Der Wert von headers.x-forwarded-port aus dem Rohprotokoll wird principal.port im UDM zugeordnet. |
headers.x-real-ip |
principal.ip |
Der Wert von headers.x-real-ip aus dem Rohprotokoll wird principal.ip im UDM zugeordnet. |
hostname |
observer.hostname |
Der Wert von hostname aus dem Rohprotokoll wird observer.hostname im UDM zugeordnet. |
httpHeaders.cf-cache-status |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.cf-cache-status aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „cf-cache-status“ zugeordnet. |
httpHeaders.cf-ray |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.cf-ray aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „cf-ray“ zugeordnet. |
httpHeaders.content-length |
security_result.about.resource.attribute.labels.value |
Der Wert von httpHeaders.content-length aus dem Rohprotokoll wird im UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „httpHeaders Content-Length“ zugeordnet. |
httpHeaders.content-type |
security_result.about.resource.attribute.labels.value |
Der Wert von httpHeaders.content-type aus dem Rohprotokoll wird in der UDM unter security_result.about.resource.attribute.labels einem Label mit dem Schlüssel „httpHeaders Content-Type“ zugeordnet. |
httpHeaders.gitlab-lb |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.gitlab-lb aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „gitlab-lb“ zugeordnet. |
httpHeaders.gitlab-sv |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.gitlab-sv aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „gitlab-sv“ zugeordnet. |
httpHeaders.ratelimit-limit |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.ratelimit-limit aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-limit“ zugeordnet. |
httpHeaders.ratelimit-observed |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.ratelimit-observed aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-observed“ zugeordnet. |
httpHeaders.ratelimit-remaining |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.ratelimit-remaining aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-remaining“ zugeordnet. |
httpHeaders.ratelimit-reset |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.ratelimit-reset aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-reset“ zugeordnet. |
httpHeaders.ratelimit-resettime |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.ratelimit-resettime aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „ratelimit-resettime“ zugeordnet. |
httpHeaders.referrer-policy |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.referrer-policy aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „referrer-policy“ zugeordnet. |
httpHeaders.server |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.server aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „server“ zugeordnet. |
httpHeaders.x-content-type-options |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.x-content-type-options aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „x-content-type-options“ zugeordnet. |
httpHeaders.x-frame-options |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.x-frame-options aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „x-frame-options“ zugeordnet. |
httpHeaders.x-request-id |
target.resource.attribute.labels.value |
Der Wert von httpHeaders.x-request-id aus dem Rohprotokoll wird einem Label mit dem Schlüssel „x-request-id“ unter target.resource.attribute.labels im UDM zugeordnet. |
httpStatus |
network.http.response_code |
Der Wert von httpStatus aus dem Rohprotokoll wird network.http.response_code im UDM zugeordnet. |
httpUrl |
target.url |
Der Wert von httpUrl aus dem Rohprotokoll wird target.url im UDM zugeordnet. |
insertId |
metadata.product_log_id |
Der Wert von insertId aus dem Rohprotokoll wird metadata.product_log_id im UDM zugeordnet. |
job |
additional.fields.value.string_value |
Der Wert von job aus dem Rohprotokoll wird einem Feld mit dem Schlüssel „job id“ unter additional.fields im UDM zugeordnet. |
job_status |
additional.fields.value.string_value |
Der Wert von job_status aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „job_status“ zugeordnet. |
labels.compute.googleapis.com/resource_name |
target.resource.name |
Der Wert von labels.compute.googleapis.com/resource_name aus dem Rohprotokoll wird target.resource.name im UDM zugeordnet. |
labels.k8s-pod/app_kubernetes_io/instance |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/app_kubernetes_io/instance aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Kubernetes IO Instance“ zugeordnet. |
labels.k8s-pod/app_kubernetes_io/name |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/app_kubernetes_io/name aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Kubernetes IO Instance Name“ zugeordnet. |
labels.k8s-pod/component |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/component aus dem Rohprotokoll wird einem Label mit dem Schlüssel „component“ unter target.resource.attribute.labels im UDM zugeordnet. |
labels.k8s-pod/controller-revision-hash |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/controller-revision-hash aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Controller Revision Hash“ zugeordnet. |
labels.k8s-pod/helm_sh/chart |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/helm_sh/chart aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Kubernetes IO Instance Manager SH“ zugeordnet. |
labels.k8s-pod/vault-active |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/vault-active aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Vault active“ zugeordnet. |
labels.k8s-pod/vault-initialized |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/vault-initialized aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „Vault initialized“ zugeordnet. |
labels.k8s-pod/vault-perf-standby |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/vault-perf-standby aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „vault perf standby“ zugeordnet. |
labels.k8s-pod/vault-sealed |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/vault-sealed aus dem Rohprotokoll wird einem Label mit dem Schlüssel „Vault sealed“ unter target.resource.attribute.labels im UDM zugeordnet. |
labels.k8s-pod/vault-version |
target.resource.attribute.labels.value |
Der Wert von labels.k8s-pod/vault-version aus dem Rohprotokoll wird einem Label mit dem Schlüssel „Vault-Version“ unter target.resource.attribute.labels im UDM zugeordnet. |
maskedToken |
security_result.about.resource.attribute.labels.value |
Der Wert von maskedToken aus dem Rohprotokoll wird einem Label mit dem Schlüssel „maskedToken“ unter security_result.about.resource.attribute.labels im UDM zugeordnet. |
method |
network.http.method , operation |
Der Wert von method aus dem Rohprotokoll wird operation zugeordnet. Wenn operation nicht leer ist, wird network.application_protocol auf „HTTP“ gesetzt. network.http.method wird anhand des Werts von operation abgeleitet. |
msg |
metadata.description |
Der Wert von msg aus dem Rohprotokoll wird metadata.description im UDM zugeordnet. |
pid |
target.process.pid |
Der Wert von pid aus dem Rohprotokoll wird target.process.pid im UDM zugeordnet. |
request.client_token |
target.resource.attribute.labels.value |
Der Wert von request.client_token aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_client_token“ zugeordnet. |
request.client_token_accessor |
target.resource.attribute.labels.value |
Der Wert von request.client_token_accessor aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_client_token_accessor“ zugeordnet. |
request.data.role_id |
target.resource.attribute.labels.value |
Der Wert von request.data.role_id aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_data_role_id“ zugeordnet. |
request.data.secret_id |
target.resource.attribute.labels.value |
Der Wert von request.data.secret_id aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „request_data_secret_id“ zugeordnet. |
request.id |
network.session_id |
Der Wert von request.id aus dem Rohprotokoll wird network.session_id im UDM zugeordnet. |
request.mount_accessor |
target.resource.attribute.labels.value |
Der Wert von request.mount_accessor aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_mount_accessor“ unter target.resource.attribute.labels im UDM zugeordnet. |
request.mount_type |
target.resource.attribute.labels.value |
Der Wert von request.mount_type aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_mount_type“ unter target.resource.attribute.labels im UDM zugeordnet. |
request.namespace.id |
target.namespace |
Der Wert von request.namespace.id aus dem Rohprotokoll wird target.namespace im UDM zugeordnet. |
request.operation |
target.resource.attribute.labels.value , network.http.method , operation |
Der Wert von request.operation aus dem Rohprotokoll wird operation zugeordnet. Wenn operation nicht leer ist, wird network.application_protocol auf „HTTP“ gesetzt. network.http.method wird anhand des Werts von operation abgeleitet. Der Wert von request.operation wird auch einem Label mit dem Schlüssel „capabilities“ unter target.resource.attribute.labels im UDM zugeordnet. |
request.path |
target.url |
Der Wert von request.path aus dem Rohprotokoll wird target.url im UDM zugeordnet. |
request.remote_address |
principal.ip |
Der Wert von request.remote_address aus dem Rohprotokoll wird principal.ip im UDM zugeordnet. |
request.remote_port |
principal.port |
Der Wert von request.remote_port aus dem Rohprotokoll wird principal.port im UDM zugeordnet. |
request.wrap_ttl |
target.resource.attribute.labels.value |
Der Wert von request.wrap_ttl aus dem Rohprotokoll wird einem Label mit dem Schlüssel „request_wrap_ttl“ unter target.resource.attribute.labels im UDM zugeordnet. |
resource.labels.container_name |
additional.fields.value.string_value |
Der Wert von resource.labels.container_name aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „container name“ zugeordnet. |
resource.labels.location |
target.location.name |
Der Wert von resource.labels.location aus dem Rohprotokoll wird target.location.name im UDM zugeordnet. |
resource.labels.namespace_name |
target.namespace |
Der Wert von resource.labels.namespace_name aus dem Rohprotokoll wird target.namespace im UDM zugeordnet. |
resource.labels.pod_name |
additional.fields.value.string_value |
Der Wert von resource.labels.pod_name aus dem Rohprotokoll wird im UDM unter additional.fields einem Feld mit dem Schlüssel „pod_name“ zugeordnet. |
resource.labels.project_id |
target.cloud.project.name |
Der Wert von resource.labels.project_id aus dem Rohprotokoll wird target.cloud.project.name im UDM zugeordnet. |
response.data.num_uses |
target.resource.attribute.labels.value |
Der Wert von response.data.num_uses aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_num_uses“ zugeordnet. |
response.data.orphan |
target.resource.attribute.labels.value |
Der Wert von response.data.orphan aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_orphan“ zugeordnet. |
response.data.renewable |
target.resource.attribute.labels.value |
Der Wert von response.data.renewable aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_renewable“ zugeordnet. |
response.data.ttl |
target.resource.attribute.labels.value |
Der Wert von response.data.ttl aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_data_ttl“ zugeordnet. |
response.wrap_info.accessor |
target.resource.attribute.labels.value |
Der Wert von response.wrap_info.accessor aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_accessor“ zugeordnet. |
response.wrap_info.token |
target.resource.attribute.labels.value |
Der Wert von response.wrap_info.token aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_token“ zugeordnet. |
response.wrap_info.ttl |
target.resource.attribute.labels.value |
Der Wert von response.wrap_info.ttl aus dem Rohprotokoll wird im UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_ttl“ zugeordnet. |
response.wrap_info.wrapped_accessor |
target.resource.attribute.labels.value |
Der Wert von response.wrap_info.wrapped_accessor aus dem Rohprotokoll wird in der UDM unter target.resource.attribute.labels einem Label mit dem Schlüssel „response_wrap_info_wrapped_accessor“ zugeordnet. |
runner |
principal.user.userid |
Der Wert von runner aus dem Rohprotokoll wird principal.user.userid im UDM zugeordnet. |
status |
network.http.response_code |
Der Wert von status aus dem Rohprotokoll wird network.http.response_code im UDM zugeordnet. |
streamingID |
target.resource.attribute.labels.value |
Der Wert von streamingID aus dem Rohprotokoll wird einem Label mit dem Schlüssel „streamingID“ unter target.resource.attribute.labels im UDM zugeordnet. |
time |
metadata.event_timestamp.seconds , metadata.event_timestamp.nanos |
Der Wert von time aus dem Rohprotokoll wird analysiert und zum Ausfüllen des Felds metadata.event_timestamp im UDM verwendet. |
type |
metadata.product_event_type |
Der Wert von type aus dem Rohprotokoll wird metadata.product_event_type im UDM zugeordnet. |
url |
principal.url |
Der Wert von url aus dem Rohprotokoll wird principal.url im UDM zugeordnet. Dem Attribut extensions.auth.type im UDM wird der Wert „MACHINE“ zugewiesen. Dem Wert „USER_LOGIN“ wird metadata.event_type in der UDM zugewiesen. Dem Attribut metadata.log_type im UDM wird der Wert „HASHICORP“ zugewiesen. Dem Attribut metadata.product_name im UDM wird der Wert „HASHICORP“ zugewiesen. Dem Attribut metadata.vendor_name im UDM wird der Wert „HASHICORP“ zugewiesen. Der Wert „SERVICE_ACCOUNT“ ist target.resource.attribute.roles.type im UDM zugewiesen. |
Änderungen
2023-10-26
- Es wurde ein Grok-Muster zum Verarbeiten von SYSLOG- und JSON-Logs hinzugefügt.
2023-09-22
- Die Zuordnung für „request.remote_port“ wurde von „target.port“ zu „principal.port“ geändert.
- Die Zuordnung für „request.remote_address“ wurde von „target.ip“ zu „principal.ip“ geändert.
- „error“ wurde in „security_result.description“ zugeordnet.
- „resource.labels.namespace_name“ wurde in „target.namespace“ umgewandelt.
- „resource.labels.pod_name“ und „resource.labels.container_name“ wurden in „additional.fields“ zugeordnet.
- „resource.labels.project_id“ wurde in „target.cloud.project.name“ umgewandelt.
- „resource.labels.location“ wurde „target.location.name“ zugeordnet.
- „insertId“ wurde „metadata.product_log_id“ zugeordnet.
- „labels.k8s-pod/app_kubernetes_io/instance“, „labels.k8s-pod/app_kubernetes_io/name“, „labels.k8s-pod/component“, „labels.k8s-pod/helm_sh/chart“, „labels.k8s-pod/controller-revision-hash“, „labels.k8s-pod/vault-initialized“, „labels.k8s-pod/vault-version“, „labels.k8s-pod/vault-sealed“, „labels.k8s-pod/vault-perf-standby“ und „labels.k8s-pod/vault-active“ wurden in „target.resource.attribute.labels“ umgewandelt.
- „labels.compute.googleapis.com/resource_name“ wurde in „target.resource.name“ umgewandelt.
2023-04-26
- Es wurde ein Grok-Muster zum Verarbeiten von syslog-Protokollen hinzugefügt.
- „status“ wurde in „network.http.response_code“ geändert.
- „runner“ wurde „principal.user.userid“ zugeordnet
- „job_id“ und „job_status“ wurden „additional.fields“ zugeordnet.
2023-03-24
- „host“ wurde „observer.hostname“ zugeordnet.
- „cluster“ wurde „observer.resource.name“ zugeordnet.
- Wenn das Protokoll einen Cluster enthält, wird „cluster“ mit „observer.resource.resource_type“ abgeglichen.
- JSON-Block zum Abrufen von Daten aus dem Feld „_raw“ hinzugefügt.
- „httpStatus“ wurde auf „network.http.response_code“ zugeordnet.
- „httpUrl“ ist mit „target.url“ verknüpft.
- „pid“ ist „target.process.pid“ zugeordnet.
- „msg“ ist mit „metadata.description“ verknüpft.
- „url“ ist mit „principal.url“ verknüpft.
- „hostname“ wird „observer.hostname“ zugeordnet.
- „streamingID“, „requestId“, „httpHeaders.cf-cache-status“, „httpHeaders.cf-ray“, „httpHeaders.gitlab-lb“, „httpHeaders.gitlab-sv“, „httpHeaders.x-request-id“, „httpHeaders.x-content-type-options“, „httpHeaders.x-frame-options“, „httpHeaders.ratelimit-limit“, „httpHeaders.ratelimit-observed“, „httpHeaders.ratelimit-remaining“, „httpHeaders.ratelimit-reset“, „httpHeaders.ratelimit-resettime“, „httpHeaders.server“, „httpHeaders.referrer-policy“ werden auf „target.resource.attribute.labels“ zugeordnet.
- „method“ wurde auf „network.application_protocol“ zugeordnet.
- „headers.user-agent“ wird auf „network.http.parsed_user_agent“ zugeordnet.
- „httpHeaders.cache-control“ wurde auf „additional.fields“ zugeordnet.
- „httpHeaders.content-type“, „httpHeaders.content-length“, „maskedToken“ und „headers.accept“ werden auf „security_result.about.resource.attribute.labels“ zugeordnet.
- „headers.x-real-ip“ ist auf „principal.ip“ zugeordnet.
- „headers.x-forwarded-host“ wurde auf „principal.hostname“ zugeordnet.
- „headers.x-forwarded-port“ ist auf „principal.port“ zugeordnet.
- „headers.snyk-acting-org-public-id“, „headers.snyk-flow-name“ und „headers.snyk-request-id“ werden auf „principal.resource.attribute.labels“ zugeordnet.
2023-02-09
- Neu erstellter Parser.