收集 HashiCorp 审核日志
支持的平台:
Google SecOps
SIEM
此解析器会处理 JSON、Syslog 或组合格式的 HashiCorp 审核日志。它会提取字段,对标准消息和“runner”类型消息执行 Grok 和 KV 解析,处理 JSON 载荷,并将提取的数据映射到 UDM。该解析器还包括错误处理和丢弃格式错误的日志。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 HCP 的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 访问安装了 BindPlane 的机器。
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: auditd raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
重启 BindPlane 代理以应用更改:
sudo systemctl restart bindplane
为 HCP 保险柜启用 Syslog
- 登录 HCP 门户。
- 前往 Vault 集群。
- 从已部署的集群列表中选择您的 Vault 集群。
- 在集群概览中,找到并复制 Vault 地址(例如 https://vault-cluster-name.hashicorpcloud.com:8200)。
- 前往访问权限详情部分,然后复制根令牌。
安装 Vault CLI
针对 Linux:
curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list sudo apt update && sudo apt install vault
对于 macOS(使用 Homebrew):
brew tap hashicorp/tap brew install hashicorp/tap/vault
对于 Windows:
Download the executable file. Extract it and add the Vault binary to your system's PATH.
通过运行以下命令验证 Vault CLI 安装情况:
vault --version
使用 CLI 配置 HCP Vault,以将审核日志发送到 BindPlane
- 打开终端或命令提示符。
使用环境变量设置 Vault 服务器地址:
export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
使用根令牌登录 Vault:
vault login <root-token>
将 Syslog 路径配置为外部 Syslog 套接字
运行以下命令以启用 syslog 并发送到 BindPlane:
vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
确认新配置:
vault audit list
输出应显示新的套接字配置。
可选:使用 Terraform 自动执行设置:
- 创建 Terraform 配置文件 (audit.tf):
resource "vault_audit" "syslog" { type = "syslog" description = "Syslog audit logs" options = { tag = "vault" facility = "LOCAL0" } } resource "vault_audit" "socket" { type = "socket" description = "Remote syslog socket" options = { address = "udp://<syslog-server-ip>:514" socket_type = "udp" tag = "vault" } }
- 应用配置:
terraform init terraform apply
未收到问题排查日志
验证 syslog 服务器是否可访问:
ping <syslog-server-ip>
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
auth.accessor |
security_result.about.resource.attribute.labels.value |
原始日志中的 auth.accessor 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_accessor”的标签。 |
auth.client_token |
security_result.about.resource.attribute.labels.value |
原始日志中的 auth.client_token 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_client_token”的标签。 |
auth.display_name |
target.user.user_display_name |
原始日志中的 auth.display_name 值会映射到 UDM 中的 target.user.user_display_name 。 |
auth.entity_id |
target.resource.product_object_id |
原始日志中的 auth.entity_id 值会映射到 UDM 中的 target.resource.product_object_id 。 |
auth.metadata.account_id |
target.user.userid |
原始日志中的 auth.metadata.account_id 值会映射到 UDM 中的 target.user.userid 。 |
auth.metadata.auth_type |
security_result.about.resource.attribute.labels.value |
原始日志中的 auth.metadata.auth_type 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_type”的标签。 |
auth.metadata.role_id |
security_result.about.resource.attribute.labels.value |
原始日志中的 auth.metadata.role_id 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“role_id”的标签。 |
auth.metadata.role_name |
target.resource.attribute.roles.name |
原始日志中的 auth.metadata.role_name 值会映射到 UDM 中的 target.resource.attribute.roles.name 。 |
auth.token_ttl |
security_result.about.resource.attribute.labels.value |
原始日志中的 auth.token_ttl 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_token_ttl”的标签。 |
auth.token_type |
security_result.about.resource.attribute.labels.value |
原始日志中的 auth.token_type 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_token_type”的标签。 |
cluster |
observer.resource.name |
原始日志中的 cluster 值会映射到 UDM 中的 observer.resource.name 。 |
error |
security_result.description |
原始日志中的 error 值会映射到 UDM 中的 security_result.description 。 |
headers.accept |
security_result.about.resource.attribute.labels.value |
原始日志中的 headers.accept 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“httpHeaders accept”的标签。 |
headers.httpHeaders.cache-control |
additional.fields.value.string_value |
原始日志中的 headers.httpHeaders.cache-control 值会映射到 UDM 中 additional.fields 下的键为“httpHeaders cache control”的字段。 |
headers.snyk-acting-org-public-id |
principal.resource.attribute.labels.value |
原始日志中的 headers.snyk-acting-org-public-id 值会映射到 UDM 中 principal.resource.attribute.labels 下的键为“snyk-acting-org-public-id”的标签。 |
headers.snyk-flow-name |
principal.resource.attribute.labels.value |
原始日志中的 headers.snyk-flow-name 值会映射到 UDM 中 principal.resource.attribute.labels 下的键为“snyk-flow-name”的标签。 |
headers.snyk-request-id |
principal.resource.attribute.labels.value |
原始日志中的 headers.snyk-request-id 值会映射到 UDM 中 principal.resource.attribute.labels 下的键为“snyk-request-id”的标签。 |
headers.user-agent |
network.http.parsed_user_agent |
系统会将原始日志中的 headers.user-agent 值解析为用户代理,并将其映射到 UDM 中的 network.http.parsed_user_agent 。 |
headers.x-forwarded-host |
principal.hostname |
原始日志中的 headers.x-forwarded-host 值会映射到 UDM 中的 principal.hostname 。 |
headers.x-forwarded-port |
principal.port |
原始日志中的 headers.x-forwarded-port 值会映射到 UDM 中的 principal.port 。 |
headers.x-real-ip |
principal.ip |
原始日志中的 headers.x-real-ip 值会映射到 UDM 中的 principal.ip 。 |
hostname |
observer.hostname |
原始日志中的 hostname 值会映射到 UDM 中的 observer.hostname 。 |
httpHeaders.cf-cache-status |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.cf-cache-status 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“cf-cache-status”的标签。 |
httpHeaders.cf-ray |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.cf-ray 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“cf-ray”的标签。 |
httpHeaders.content-length |
security_result.about.resource.attribute.labels.value |
原始日志中的 httpHeaders.content-length 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“httpHeaders Content-Length”的标签。 |
httpHeaders.content-type |
security_result.about.resource.attribute.labels.value |
原始日志中的 httpHeaders.content-type 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“httpHeaders Content-Type”的标签。 |
httpHeaders.gitlab-lb |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.gitlab-lb 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“gitlab-lb”的标签。 |
httpHeaders.gitlab-sv |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.gitlab-sv 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“gitlab-sv”的标签。 |
httpHeaders.ratelimit-limit |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.ratelimit-limit 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-limit”的标签。 |
httpHeaders.ratelimit-observed |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.ratelimit-observed 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-observed”的标签。 |
httpHeaders.ratelimit-remaining |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.ratelimit-remaining 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-remaining”的标签。 |
httpHeaders.ratelimit-reset |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.ratelimit-reset 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-reset”的标签。 |
httpHeaders.ratelimit-resettime |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.ratelimit-resettime 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-resettime”的标签。 |
httpHeaders.referrer-policy |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.referrer-policy 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“referrer-policy”的标签。 |
httpHeaders.server |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.server 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“server”的标签。 |
httpHeaders.x-content-type-options |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.x-content-type-options 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“x-content-type-options”的标签。 |
httpHeaders.x-frame-options |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.x-frame-options 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“x-frame-options”的标签。 |
httpHeaders.x-request-id |
target.resource.attribute.labels.value |
原始日志中的 httpHeaders.x-request-id 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“x-request-id”的标签。 |
httpStatus |
network.http.response_code |
原始日志中的 httpStatus 值会映射到 UDM 中的 network.http.response_code 。 |
httpUrl |
target.url |
原始日志中的 httpUrl 值会映射到 UDM 中的 target.url 。 |
insertId |
metadata.product_log_id |
原始日志中的 insertId 值会映射到 UDM 中的 metadata.product_log_id 。 |
job |
additional.fields.value.string_value |
原始日志中的 job 值会映射到 UDM 中 additional.fields 下的键为“job id”的字段。 |
job_status |
additional.fields.value.string_value |
原始日志中的 job_status 值会映射到 UDM 中 additional.fields 下的键为“job_status”的字段。 |
labels.compute.googleapis.com/resource_name |
target.resource.name |
原始日志中的 labels.compute.googleapis.com/resource_name 值会映射到 UDM 中的 target.resource.name 。 |
labels.k8s-pod/app_kubernetes_io/instance |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/app_kubernetes_io/instance 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Kubernetes IO 实例”的标签。 |
labels.k8s-pod/app_kubernetes_io/name |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/app_kubernetes_io/name 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Kubernetes IO 实例名称”的标签。 |
labels.k8s-pod/component |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/component 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“component”的标签。 |
labels.k8s-pod/controller-revision-hash |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/controller-revision-hash 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Controller Revision Hash”的标签。 |
labels.k8s-pod/helm_sh/chart |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/helm_sh/chart 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Kubernetes IO Instance Manager SH”的标签。 |
labels.k8s-pod/vault-active |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/vault-active 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault active”的标签。 |
labels.k8s-pod/vault-initialized |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/vault-initialized 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault initialized”的标签。 |
labels.k8s-pod/vault-perf-standby |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/vault-perf-standby 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“vault perf standby”的标签。 |
labels.k8s-pod/vault-sealed |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/vault-sealed 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault sealed”的标签。 |
labels.k8s-pod/vault-version |
target.resource.attribute.labels.value |
原始日志中的 labels.k8s-pod/vault-version 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault 版本”的标签。 |
maskedToken |
security_result.about.resource.attribute.labels.value |
原始日志中的 maskedToken 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“maskedToken”的标签。 |
method |
network.http.method ,operation |
原始日志中的 method 值会映射到 operation 。如果 operation 不为空,则 network.application_protocol 会设置为“HTTP”。系统会根据 operation 的值派生 network.http.method 。 |
msg |
metadata.description |
原始日志中的 msg 值会映射到 UDM 中的 metadata.description 。 |
pid |
target.process.pid |
原始日志中的 pid 值会映射到 UDM 中的 target.process.pid 。 |
request.client_token |
target.resource.attribute.labels.value |
原始日志中的 request.client_token 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_client_token”的标签。 |
request.client_token_accessor |
target.resource.attribute.labels.value |
原始日志中的 request.client_token_accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_client_token_accessor”的标签。 |
request.data.role_id |
target.resource.attribute.labels.value |
原始日志中的 request.data.role_id 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_data_role_id”的标签。 |
request.data.secret_id |
target.resource.attribute.labels.value |
原始日志中的 request.data.secret_id 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_data_secret_id”的标签。 |
request.id |
network.session_id |
原始日志中的 request.id 值会映射到 UDM 中的 network.session_id 。 |
request.mount_accessor |
target.resource.attribute.labels.value |
原始日志中的 request.mount_accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_mount_accessor”的标签。 |
request.mount_type |
target.resource.attribute.labels.value |
原始日志中的 request.mount_type 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_mount_type”的标签。 |
request.namespace.id |
target.namespace |
原始日志中的 request.namespace.id 值会映射到 UDM 中的 target.namespace 。 |
request.operation |
target.resource.attribute.labels.value 、network.http.method 、operation |
原始日志中的 request.operation 值会映射到 operation 。如果 operation 不为空,则 network.application_protocol 会设置为“HTTP”。network.http.method 是根据 operation 的值派生的。request.operation 的值还会映射到 UDM 中 target.resource.attribute.labels 下的键为“capabilities”的标签。 |
request.path |
target.url |
原始日志中的 request.path 值会映射到 UDM 中的 target.url 。 |
request.remote_address |
principal.ip |
原始日志中的 request.remote_address 值会映射到 UDM 中的 principal.ip 。 |
request.remote_port |
principal.port |
原始日志中的 request.remote_port 值会映射到 UDM 中的 principal.port 。 |
request.wrap_ttl |
target.resource.attribute.labels.value |
原始日志中的 request.wrap_ttl 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_wrap_ttl”的标签。 |
resource.labels.container_name |
additional.fields.value.string_value |
原始日志中的 resource.labels.container_name 值会映射到 UDM 中 additional.fields 下的键为“容器名称”的字段。 |
resource.labels.location |
target.location.name |
原始日志中的 resource.labels.location 值会映射到 UDM 中的 target.location.name 。 |
resource.labels.namespace_name |
target.namespace |
原始日志中的 resource.labels.namespace_name 值会映射到 UDM 中的 target.namespace 。 |
resource.labels.pod_name |
additional.fields.value.string_value |
原始日志中的 resource.labels.pod_name 值会映射到 UDM 中 additional.fields 下的键为“pod_name”的字段。 |
resource.labels.project_id |
target.cloud.project.name |
原始日志中的 resource.labels.project_id 值会映射到 UDM 中的 target.cloud.project.name 。 |
response.data.num_uses |
target.resource.attribute.labels.value |
原始日志中的 response.data.num_uses 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_num_uses”的标签。 |
response.data.orphan |
target.resource.attribute.labels.value |
原始日志中的 response.data.orphan 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_orphan”的标签。 |
response.data.renewable |
target.resource.attribute.labels.value |
原始日志中的 response.data.renewable 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_renewable”的标签。 |
response.data.ttl |
target.resource.attribute.labels.value |
原始日志中的 response.data.ttl 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_ttl”的标签。 |
response.wrap_info.accessor |
target.resource.attribute.labels.value |
原始日志中的 response.wrap_info.accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_accessor”的标签。 |
response.wrap_info.token |
target.resource.attribute.labels.value |
原始日志中的 response.wrap_info.token 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_token”的标签。 |
response.wrap_info.ttl |
target.resource.attribute.labels.value |
原始日志中的 response.wrap_info.ttl 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_ttl”的标签。 |
response.wrap_info.wrapped_accessor |
target.resource.attribute.labels.value |
原始日志中的 response.wrap_info.wrapped_accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_wrapped_accessor”的标签。 |
runner |
principal.user.userid |
原始日志中的 runner 值会映射到 UDM 中的 principal.user.userid 。 |
status |
network.http.response_code |
原始日志中的 status 值会映射到 UDM 中的 network.http.response_code 。 |
streamingID |
target.resource.attribute.labels.value |
原始日志中的 streamingID 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“streamingID”的标签。 |
time |
metadata.event_timestamp.seconds ,metadata.event_timestamp.nanos |
系统会解析原始日志中的 time 值,并将其用于填充 UDM 中的 metadata.event_timestamp 字段。 |
type |
metadata.product_event_type |
原始日志中的 type 值会映射到 UDM 中的 metadata.product_event_type 。 |
url |
principal.url |
原始日志中的 url 值会映射到 UDM 中的 principal.url 。在 UDM 中,将值“MACHINE”分配给 extensions.auth.type 。在 UDM 中,将值“USER_LOGIN”分配给 metadata.event_type 。在 UDM 中,将值“HASHICORP”分配给 metadata.log_type 。在 UDM 中,将值“HASHICORP”分配给 metadata.product_name 。在 UDM 中,将值“HASHICORP”分配给 metadata.vendor_name 。在 UDM 中,将值“SERVICE_ACCOUNT”分配给 target.resource.attribute.roles.type 。 |
更改
2023-10-26
- 添加了 Grok 模式来处理 SYSLOG+JSON 日志。
2023-09-22
- 将“request.remote_port”的映射从“target.port”更改为“principal.port”。
- 将“request.remote_address”的映射从“target.ip”更改为“principal.ip”。
- 将“error”映射到“security_result.description”。
- 将“resource.labels.namespace_name”映射到“target.namespace”。
- 将“resource.labels.pod_name”“resource.labels.container_name”映射到“additional.fields”。
- 将“resource.labels.project_id”映射到“target.cloud.project.name”。
- 将“resource.labels.location”映射到“target.location.name”。
- 将“insertId”映射到“metadata.product_log_id”。
- 将“labels.k8s-pod/app_kubernetes_io/instance”“labels.k8s-pod/app_kubernetes_io/name”“labels.k8s-pod/component”“labels.k8s-pod/helm_sh/chart”“labels.k8s-pod/controller-revision-hash”“labels.k8s-pod/vault-initialized”“labels.k8s-pod/vault-version”“labels.k8s-pod/vault-sealed”“labels.k8s-pod/vault-perf-standby”和“labels.k8s-pod/vault-active”映射到“target.resource.attribute.labels”。
- 将“labels.compute.googleapis.com/resource_name”映射到“target.resource.name”。
2023-04-26
- 添加了 Grok 模式来处理 syslog 日志。
- 将“status”映射到“network.http.response_code”。
- 将“runner”映射到“principal.user.userid”
- 将“job_id”“job_status”映射到“additional.fields”。
2023-03-24
- 将“host”映射到“observer.hostname”。
- 将“cluster”映射到“observer.resource.name”。
- 如果日志包含集群,则将“集群”映射到“observer.resource.resource_type”。
- 添加了 JSON 块,用于从“_raw”字段检索数据。
- “httpStatus”已映射到“network.http.response_code”。
- “httpUrl”映射到“target.url”。
- “pid”已映射到“target.process.pid”。
- “msg”映射到“metadata.description”。
- “url”映射到“principal.url”。
- “hostname”已映射到“observer.hostname”。
- “streamingID”“requestId”“httpHeaders.cf-cache-status”“httpHeaders.cf-ray”“httpHeaders.gitlab-lb”“httpHeaders.gitlab-sv”“httpHeaders.x-request-id”“httpHeaders.x-content-type-options”“httpHeaders.x-frame-options”“httpHeaders.ratelimit-limit”“httpHeaders.ratelimit-observed”“httpHeaders.ratelimit-remaining”“httpHeaders.ratelimit-reset”“httpHeaders.ratelimit-resettime”“httpHeaders.server”“httpHeaders.referrer-policy”已映射到“target.resource.attribute.labels”。
- “method”已映射到“network.application_protocol”。
- “headers.user-agent”已映射到“network.http.parsed_user_agent”。
- “httpHeaders.cache-control”已映射到“additional.fields”。
- “httpHeaders.content-type”“httpHeaders.content-length”“maskedToken”“headers.accept”已映射到“security_result.about.resource.attribute.labels”。
- “headers.x-real-ip”已映射到“principal.ip”。
- “headers.x-forwarded-host”已映射到“principal.hostname”。
- “headers.x-forwarded-port”已映射到“principal.port”。
- “headers.snyk-acting-org-public-id”“headers.snyk-flow-name”“headers.snyk-request-id”已映射到“principal.resource.attribute.labels”。
2023-02-09
- 新创建的解析器。