此页面由 Cloud Translation API 翻译。

收集 HashiCorp 审核日志

支持的平台：

Google SecOps SIEM

此解析器会处理 JSON、Syslog 或组合格式的 HashiCorp 审核日志。它会提取字段，对标准消息和“runner”类型消息执行 Grok 和 KV 解析，处理 JSON 载荷，并将提取的数据映射到 UDM。该解析器还包括错误处理和丢弃格式错误的日志。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您拥有对 HCP 的特权访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane Agent

对于 Windows 安装，请运行以下脚本：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
对于 Linux 安装，请运行以下脚本：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需了解其他安装选项，请参阅此安装指南。

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

访问安装了 BindPlane 的机器。

按如下方式修改 config.yaml 文件：

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: auditd
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

重启 BindPlane 代理以应用更改：
```
sudo systemctl restart bindplane
```

为 HCP 保险柜启用 Syslog

登录 HCP 门户。
前往 Vault 集群。
从已部署的集群列表中选择您的 Vault 集群。
在集群概览中，找到并复制 Vault 地址（例如 https://vault-cluster-name.hashicorpcloud.com:8200）。
前往访问权限详情部分，然后复制根令牌。

安装 Vault CLI

针对 Linux：

curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
sudo apt update && sudo apt install vault

对于 macOS（使用 Homebrew）：

brew tap hashicorp/tap
brew install hashicorp/tap/vault

对于 Windows：

Download the executable file.
Extract it and add the Vault binary to your system's PATH.

通过运行以下命令验证 Vault CLI 安装情况：
```
vault --version
```

使用 CLI 配置 HCP Vault，以将审核日志发送到 BindPlane

打开终端或命令提示符。

使用环境变量设置 Vault 服务器地址：

export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"

使用根令牌登录 Vault：
```
vault login <root-token>
```

将 Syslog 路径配置为外部 Syslog 套接字

运行以下命令以启用 syslog 并发送到 BindPlane：

vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"

确认新配置：
```
vault audit list
```
输出应显示新的套接字配置。

可选：使用 Terraform 自动执行设置：

创建 Terraform 配置文件 (audit.tf)：

resource "vault_audit" "syslog" {
  type        = "syslog"
  description = "Syslog audit logs"
  options = {
    tag      = "vault"
    facility = "LOCAL0"
  }
}

resource "vault_audit" "socket" {
  type        = "socket"
  description = "Remote syslog socket"
  options = {
    address     = "udp://<syslog-server-ip>:514"
    socket_type = "udp"
    tag         = "vault"
  }
}

应用配置：

terraform init
terraform apply

未收到问题排查日志

验证 syslog 服务器是否可访问：
```
ping <syslog-server-ip>
```

UDM 映射表

日志字段	UDM 映射	逻辑
`auth.accessor`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `auth.accessor` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“auth_accessor”的标签。
`auth.client_token`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `auth.client_token` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“auth_client_token”的标签。
`auth.display_name`	`target.user.user_display_name`	原始日志中的 `auth.display_name` 值会映射到 UDM 中的 `target.user.user_display_name`。
`auth.entity_id`	`target.resource.product_object_id`	原始日志中的 `auth.entity_id` 值会映射到 UDM 中的 `target.resource.product_object_id`。
`auth.metadata.account_id`	`target.user.userid`	原始日志中的 `auth.metadata.account_id` 值会映射到 UDM 中的 `target.user.userid`。
`auth.metadata.auth_type`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `auth.metadata.auth_type` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“auth_type”的标签。
`auth.metadata.role_id`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `auth.metadata.role_id` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“role_id”的标签。
`auth.metadata.role_name`	`target.resource.attribute.roles.name`	原始日志中的 `auth.metadata.role_name` 值会映射到 UDM 中的 `target.resource.attribute.roles.name`。
`auth.token_ttl`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `auth.token_ttl` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“auth_token_ttl”的标签。
`auth.token_type`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `auth.token_type` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“auth_token_type”的标签。
`cluster`	`observer.resource.name`	原始日志中的 `cluster` 值会映射到 UDM 中的 `observer.resource.name`。
`error`	`security_result.description`	原始日志中的 `error` 值会映射到 UDM 中的 `security_result.description`。
`headers.accept`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `headers.accept` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“httpHeaders accept”的标签。
`headers.httpHeaders.cache-control`	`additional.fields.value.string_value`	原始日志中的 `headers.httpHeaders.cache-control` 值会映射到 UDM 中 `additional.fields` 下的键为“httpHeaders cache control”的字段。
`headers.snyk-acting-org-public-id`	`principal.resource.attribute.labels.value`	原始日志中的 `headers.snyk-acting-org-public-id` 值会映射到 UDM 中 `principal.resource.attribute.labels` 下的键为“snyk-acting-org-public-id”的标签。
`headers.snyk-flow-name`	`principal.resource.attribute.labels.value`	原始日志中的 `headers.snyk-flow-name` 值会映射到 UDM 中 `principal.resource.attribute.labels` 下的键为“snyk-flow-name”的标签。
`headers.snyk-request-id`	`principal.resource.attribute.labels.value`	原始日志中的 `headers.snyk-request-id` 值会映射到 UDM 中 `principal.resource.attribute.labels` 下的键为“snyk-request-id”的标签。
`headers.user-agent`	`network.http.parsed_user_agent`	系统会将原始日志中的 `headers.user-agent` 值解析为用户代理，并将其映射到 UDM 中的 `network.http.parsed_user_agent`。
`headers.x-forwarded-host`	`principal.hostname`	原始日志中的 `headers.x-forwarded-host` 值会映射到 UDM 中的 `principal.hostname`。
`headers.x-forwarded-port`	`principal.port`	原始日志中的 `headers.x-forwarded-port` 值会映射到 UDM 中的 `principal.port`。
`headers.x-real-ip`	`principal.ip`	原始日志中的 `headers.x-real-ip` 值会映射到 UDM 中的 `principal.ip`。
`hostname`	`observer.hostname`	原始日志中的 `hostname` 值会映射到 UDM 中的 `observer.hostname`。
`httpHeaders.cf-cache-status`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.cf-cache-status` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“cf-cache-status”的标签。
`httpHeaders.cf-ray`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.cf-ray` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“cf-ray”的标签。
`httpHeaders.content-length`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `httpHeaders.content-length` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“httpHeaders Content-Length”的标签。
`httpHeaders.content-type`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `httpHeaders.content-type` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“httpHeaders Content-Type”的标签。
`httpHeaders.gitlab-lb`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.gitlab-lb` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“gitlab-lb”的标签。
`httpHeaders.gitlab-sv`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.gitlab-sv` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“gitlab-sv”的标签。
`httpHeaders.ratelimit-limit`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.ratelimit-limit` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“ratelimit-limit”的标签。
`httpHeaders.ratelimit-observed`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.ratelimit-observed` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“ratelimit-observed”的标签。
`httpHeaders.ratelimit-remaining`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.ratelimit-remaining` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“ratelimit-remaining”的标签。
`httpHeaders.ratelimit-reset`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.ratelimit-reset` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“ratelimit-reset”的标签。
`httpHeaders.ratelimit-resettime`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.ratelimit-resettime` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“ratelimit-resettime”的标签。
`httpHeaders.referrer-policy`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.referrer-policy` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“referrer-policy”的标签。
`httpHeaders.server`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.server` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“server”的标签。
`httpHeaders.x-content-type-options`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.x-content-type-options` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“x-content-type-options”的标签。
`httpHeaders.x-frame-options`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.x-frame-options` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“x-frame-options”的标签。
`httpHeaders.x-request-id`	`target.resource.attribute.labels.value`	原始日志中的 `httpHeaders.x-request-id` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“x-request-id”的标签。
`httpStatus`	`network.http.response_code`	原始日志中的 `httpStatus` 值会映射到 UDM 中的 `network.http.response_code`。
`httpUrl`	`target.url`	原始日志中的 `httpUrl` 值会映射到 UDM 中的 `target.url`。
`insertId`	`metadata.product_log_id`	原始日志中的 `insertId` 值会映射到 UDM 中的 `metadata.product_log_id`。
`job`	`additional.fields.value.string_value`	原始日志中的 `job` 值会映射到 UDM 中 `additional.fields` 下的键为“job id”的字段。
`job_status`	`additional.fields.value.string_value`	原始日志中的 `job_status` 值会映射到 UDM 中 `additional.fields` 下的键为“job_status”的字段。
`labels.compute.googleapis.com/resource_name`	`target.resource.name`	原始日志中的 `labels.compute.googleapis.com/resource_name` 值会映射到 UDM 中的 `target.resource.name`。
`labels.k8s-pod/app_kubernetes_io/instance`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/app_kubernetes_io/instance` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Kubernetes IO 实例”的标签。
`labels.k8s-pod/app_kubernetes_io/name`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/app_kubernetes_io/name` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Kubernetes IO 实例名称”的标签。
`labels.k8s-pod/component`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/component` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“component”的标签。
`labels.k8s-pod/controller-revision-hash`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/controller-revision-hash` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Controller Revision Hash”的标签。
`labels.k8s-pod/helm_sh/chart`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/helm_sh/chart` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Kubernetes IO Instance Manager SH”的标签。
`labels.k8s-pod/vault-active`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/vault-active` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Vault active”的标签。
`labels.k8s-pod/vault-initialized`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/vault-initialized` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Vault initialized”的标签。
`labels.k8s-pod/vault-perf-standby`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/vault-perf-standby` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“vault perf standby”的标签。
`labels.k8s-pod/vault-sealed`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/vault-sealed` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Vault sealed”的标签。
`labels.k8s-pod/vault-version`	`target.resource.attribute.labels.value`	原始日志中的 `labels.k8s-pod/vault-version` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“Vault 版本”的标签。
`maskedToken`	`security_result.about.resource.attribute.labels.value`	原始日志中的 `maskedToken` 值会映射到 UDM 中 `security_result.about.resource.attribute.labels` 下的键为“maskedToken”的标签。
`method`	`network.http.method`，`operation`	原始日志中的 `method` 值会映射到 `operation`。如果 `operation` 不为空，则 `network.application_protocol` 会设置为“HTTP”。系统会根据 `operation` 的值派生 `network.http.method`。
`msg`	`metadata.description`	原始日志中的 `msg` 值会映射到 UDM 中的 `metadata.description`。
`pid`	`target.process.pid`	原始日志中的 `pid` 值会映射到 UDM 中的 `target.process.pid`。
`request.client_token`	`target.resource.attribute.labels.value`	原始日志中的 `request.client_token` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_client_token”的标签。
`request.client_token_accessor`	`target.resource.attribute.labels.value`	原始日志中的 `request.client_token_accessor` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_client_token_accessor”的标签。
`request.data.role_id`	`target.resource.attribute.labels.value`	原始日志中的 `request.data.role_id` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_data_role_id”的标签。
`request.data.secret_id`	`target.resource.attribute.labels.value`	原始日志中的 `request.data.secret_id` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_data_secret_id”的标签。
`request.id`	`network.session_id`	原始日志中的 `request.id` 值会映射到 UDM 中的 `network.session_id`。
`request.mount_accessor`	`target.resource.attribute.labels.value`	原始日志中的 `request.mount_accessor` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_mount_accessor”的标签。
`request.mount_type`	`target.resource.attribute.labels.value`	原始日志中的 `request.mount_type` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_mount_type”的标签。
`request.namespace.id`	`target.namespace`	原始日志中的 `request.namespace.id` 值会映射到 UDM 中的 `target.namespace`。
`request.operation`	`target.resource.attribute.labels.value`、`network.http.method`、`operation`	原始日志中的 `request.operation` 值会映射到 `operation`。如果 `operation` 不为空，则 `network.application_protocol` 会设置为“HTTP”。`network.http.method` 是根据 `operation` 的值派生的。`request.operation` 的值还会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“capabilities”的标签。
`request.path`	`target.url`	原始日志中的 `request.path` 值会映射到 UDM 中的 `target.url`。
`request.remote_address`	`principal.ip`	原始日志中的 `request.remote_address` 值会映射到 UDM 中的 `principal.ip`。
`request.remote_port`	`principal.port`	原始日志中的 `request.remote_port` 值会映射到 UDM 中的 `principal.port`。
`request.wrap_ttl`	`target.resource.attribute.labels.value`	原始日志中的 `request.wrap_ttl` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“request_wrap_ttl”的标签。
`resource.labels.container_name`	`additional.fields.value.string_value`	原始日志中的 `resource.labels.container_name` 值会映射到 UDM 中 `additional.fields` 下的键为“容器名称”的字段。
`resource.labels.location`	`target.location.name`	原始日志中的 `resource.labels.location` 值会映射到 UDM 中的 `target.location.name`。
`resource.labels.namespace_name`	`target.namespace`	原始日志中的 `resource.labels.namespace_name` 值会映射到 UDM 中的 `target.namespace`。
`resource.labels.pod_name`	`additional.fields.value.string_value`	原始日志中的 `resource.labels.pod_name` 值会映射到 UDM 中 `additional.fields` 下的键为“pod_name”的字段。
`resource.labels.project_id`	`target.cloud.project.name`	原始日志中的 `resource.labels.project_id` 值会映射到 UDM 中的 `target.cloud.project.name`。
`response.data.num_uses`	`target.resource.attribute.labels.value`	原始日志中的 `response.data.num_uses` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_data_num_uses”的标签。
`response.data.orphan`	`target.resource.attribute.labels.value`	原始日志中的 `response.data.orphan` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_data_orphan”的标签。
`response.data.renewable`	`target.resource.attribute.labels.value`	原始日志中的 `response.data.renewable` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_data_renewable”的标签。
`response.data.ttl`	`target.resource.attribute.labels.value`	原始日志中的 `response.data.ttl` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_data_ttl”的标签。
`response.wrap_info.accessor`	`target.resource.attribute.labels.value`	原始日志中的 `response.wrap_info.accessor` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_wrap_info_accessor”的标签。
`response.wrap_info.token`	`target.resource.attribute.labels.value`	原始日志中的 `response.wrap_info.token` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_wrap_info_token”的标签。
`response.wrap_info.ttl`	`target.resource.attribute.labels.value`	原始日志中的 `response.wrap_info.ttl` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_wrap_info_ttl”的标签。
`response.wrap_info.wrapped_accessor`	`target.resource.attribute.labels.value`	原始日志中的 `response.wrap_info.wrapped_accessor` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“response_wrap_info_wrapped_accessor”的标签。
`runner`	`principal.user.userid`	原始日志中的 `runner` 值会映射到 UDM 中的 `principal.user.userid`。
`status`	`network.http.response_code`	原始日志中的 `status` 值会映射到 UDM 中的 `network.http.response_code`。
`streamingID`	`target.resource.attribute.labels.value`	原始日志中的 `streamingID` 值会映射到 UDM 中 `target.resource.attribute.labels` 下的键为“streamingID”的标签。
`time`	`metadata.event_timestamp.seconds`，`metadata.event_timestamp.nanos`	系统会解析原始日志中的 `time` 值，并将其用于填充 UDM 中的 `metadata.event_timestamp` 字段。
`type`	`metadata.product_event_type`	原始日志中的 `type` 值会映射到 UDM 中的 `metadata.product_event_type`。
`url`	`principal.url`	原始日志中的 `url` 值会映射到 UDM 中的 `principal.url`。在 UDM 中，将值“MACHINE”分配给 `extensions.auth.type`。在 UDM 中，将值“USER_LOGIN”分配给 `metadata.event_type`。在 UDM 中，将值“HASHICORP”分配给 `metadata.log_type`。在 UDM 中，将值“HASHICORP”分配给 `metadata.product_name`。在 UDM 中，将值“HASHICORP”分配给 `metadata.vendor_name`。在 UDM 中，将值“SERVICE_ACCOUNT”分配给 `target.resource.attribute.roles.type`。

更改

2023-10-26

添加了 Grok 模式来处理 SYSLOG+JSON 日志。

2023-09-22

将“request.remote_port”的映射从“target.port”更改为“principal.port”。
将“request.remote_address”的映射从“target.ip”更改为“principal.ip”。
将“error”映射到“security_result.description”。
将“resource.labels.namespace_name”映射到“target.namespace”。
将“resource.labels.pod_name”“resource.labels.container_name”映射到“additional.fields”。
将“resource.labels.project_id”映射到“target.cloud.project.name”。
将“resource.labels.location”映射到“target.location.name”。
将“insertId”映射到“metadata.product_log_id”。
将“labels.k8s-pod/app_kubernetes_io/instance”“labels.k8s-pod/app_kubernetes_io/name”“labels.k8s-pod/component”“labels.k8s-pod/helm_sh/chart”“labels.k8s-pod/controller-revision-hash”“labels.k8s-pod/vault-initialized”“labels.k8s-pod/vault-version”“labels.k8s-pod/vault-sealed”“labels.k8s-pod/vault-perf-standby”和“labels.k8s-pod/vault-active”映射到“target.resource.attribute.labels”。
将“labels.compute.googleapis.com/resource_name”映射到“target.resource.name”。

2023-04-26

添加了 Grok 模式来处理 syslog 日志。
将“status”映射到“network.http.response_code”。
将“runner”映射到“principal.user.userid”
将“job_id”“job_status”映射到“additional.fields”。

2023-03-24

将“host”映射到“observer.hostname”。
将“cluster”映射到“observer.resource.name”。
如果日志包含集群，则将“集群”映射到“observer.resource.resource_type”。
添加了 JSON 块，用于从“_raw”字段检索数据。
“httpStatus”已映射到“network.http.response_code”。
“httpUrl”映射到“target.url”。
“pid”已映射到“target.process.pid”。
“msg”映射到“metadata.description”。
“url”映射到“principal.url”。
“hostname”已映射到“observer.hostname”。
“streamingID”“requestId”“httpHeaders.cf-cache-status”“httpHeaders.cf-ray”“httpHeaders.gitlab-lb”“httpHeaders.gitlab-sv”“httpHeaders.x-request-id”“httpHeaders.x-content-type-options”“httpHeaders.x-frame-options”“httpHeaders.ratelimit-limit”“httpHeaders.ratelimit-observed”“httpHeaders.ratelimit-remaining”“httpHeaders.ratelimit-reset”“httpHeaders.ratelimit-resettime”“httpHeaders.server”“httpHeaders.referrer-policy”已映射到“target.resource.attribute.labels”。
“method”已映射到“network.application_protocol”。
“headers.user-agent”已映射到“network.http.parsed_user_agent”。
“httpHeaders.cache-control”已映射到“additional.fields”。
“httpHeaders.content-type”“httpHeaders.content-length”“maskedToken”“headers.accept”已映射到“security_result.about.resource.attribute.labels”。
“headers.x-real-ip”已映射到“principal.ip”。
“headers.x-forwarded-host”已映射到“principal.hostname”。
“headers.x-forwarded-port”已映射到“principal.port”。
“headers.snyk-acting-org-public-id”“headers.snyk-flow-name”“headers.snyk-request-id”已映射到“principal.resource.attribute.labels”。

2023-02-09

新创建的解析器。