收集 HashiCorp 审核日志

支持的平台:

此解析器会处理 JSON、Syslog 或组合格式的 HashiCorp 审核日志。它会提取字段,对标准消息和“runner”类型消息执行 Grok 和 KV 解析,处理 JSON 载荷,并将提取的数据映射到 UDM。该解析器还包括错误处理和丢弃格式错误的日志。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 HCP 的特权访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

  1. 对于 Windows 安装,请运行以下脚本:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 对于 Linux 安装,请运行以下脚本:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问安装了 BindPlane 的机器。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: auditd
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 重启 BindPlane 代理以应用更改:

    sudo systemctl restart bindplane
    

为 HCP 保险柜启用 Syslog

  1. 登录 HCP 门户
  2. 前往 Vault 集群
  3. 已部署的集群列表中选择您的 Vault 集群。
  4. 集群概览中,找到并复制 Vault 地址(例如 https://vault-cluster-name.hashicorpcloud.com:8200)。
  5. 前往访问权限详情部分,然后复制根令牌

安装 Vault CLI

  • 针对 Linux:

    curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
    echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
    sudo apt update && sudo apt install vault
    
  • 对于 macOS(使用 Homebrew):

    brew tap hashicorp/tap
    brew install hashicorp/tap/vault
    
  • 对于 Windows:

    Download the executable file.
    Extract it and add the Vault binary to your system's PATH.
    
  • 通过运行以下命令验证 Vault CLI 安装情况:

    vault --version
    

使用 CLI 配置 HCP Vault,以将审核日志发送到 BindPlane

  1. 打开终端或命令提示符。
  2. 使用环境变量设置 Vault 服务器地址:

    export VAULT_ADDR="https://vault-cluster-name.hashicorpcloud.com:8200"
    
  3. 使用根令牌登录 Vault:

    vault login <root-token>
    

将 Syslog 路径配置为外部 Syslog 套接字

  1. 运行以下命令以启用 syslog 并发送到 BindPlane:

    vault audit enable socket address="udp://<bindplane-ip>:<bindplane-port>" socket_type="udp" tag="vault"
    
  2. 确认新配置:

    vault audit list
    
  3. 输出应显示新的套接字配置。

  4. 可选:使用 Terraform 自动执行设置:

    • 创建 Terraform 配置文件 (audit.tf):
    resource "vault_audit" "syslog" {
      type        = "syslog"
      description = "Syslog audit logs"
      options = {
        tag      = "vault"
        facility = "LOCAL0"
      }
    }
    
    resource "vault_audit" "socket" {
      type        = "socket"
      description = "Remote syslog socket"
      options = {
        address     = "udp://<syslog-server-ip>:514"
        socket_type = "udp"
        tag         = "vault"
      }
    }
    
    • 应用配置:
    terraform init
    terraform apply
    

未收到问题排查日志

  • 验证 syslog 服务器是否可访问:

    ping <syslog-server-ip>
    

UDM 映射表

日志字段 UDM 映射 逻辑
auth.accessor security_result.about.resource.attribute.labels.value 原始日志中的 auth.accessor 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_accessor”的标签。
auth.client_token security_result.about.resource.attribute.labels.value 原始日志中的 auth.client_token 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_client_token”的标签。
auth.display_name target.user.user_display_name 原始日志中的 auth.display_name 值会映射到 UDM 中的 target.user.user_display_name
auth.entity_id target.resource.product_object_id 原始日志中的 auth.entity_id 值会映射到 UDM 中的 target.resource.product_object_id
auth.metadata.account_id target.user.userid 原始日志中的 auth.metadata.account_id 值会映射到 UDM 中的 target.user.userid
auth.metadata.auth_type security_result.about.resource.attribute.labels.value 原始日志中的 auth.metadata.auth_type 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_type”的标签。
auth.metadata.role_id security_result.about.resource.attribute.labels.value 原始日志中的 auth.metadata.role_id 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“role_id”的标签。
auth.metadata.role_name target.resource.attribute.roles.name 原始日志中的 auth.metadata.role_name 值会映射到 UDM 中的 target.resource.attribute.roles.name
auth.token_ttl security_result.about.resource.attribute.labels.value 原始日志中的 auth.token_ttl 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_token_ttl”的标签。
auth.token_type security_result.about.resource.attribute.labels.value 原始日志中的 auth.token_type 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“auth_token_type”的标签。
cluster observer.resource.name 原始日志中的 cluster 值会映射到 UDM 中的 observer.resource.name
error security_result.description 原始日志中的 error 值会映射到 UDM 中的 security_result.description
headers.accept security_result.about.resource.attribute.labels.value 原始日志中的 headers.accept 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“httpHeaders accept”的标签。
headers.httpHeaders.cache-control additional.fields.value.string_value 原始日志中的 headers.httpHeaders.cache-control 值会映射到 UDM 中 additional.fields 下的键为“httpHeaders cache control”的字段。
headers.snyk-acting-org-public-id principal.resource.attribute.labels.value 原始日志中的 headers.snyk-acting-org-public-id 值会映射到 UDM 中 principal.resource.attribute.labels 下的键为“snyk-acting-org-public-id”的标签。
headers.snyk-flow-name principal.resource.attribute.labels.value 原始日志中的 headers.snyk-flow-name 值会映射到 UDM 中 principal.resource.attribute.labels 下的键为“snyk-flow-name”的标签。
headers.snyk-request-id principal.resource.attribute.labels.value 原始日志中的 headers.snyk-request-id 值会映射到 UDM 中 principal.resource.attribute.labels 下的键为“snyk-request-id”的标签。
headers.user-agent network.http.parsed_user_agent 系统会将原始日志中的 headers.user-agent 值解析为用户代理,并将其映射到 UDM 中的 network.http.parsed_user_agent
headers.x-forwarded-host principal.hostname 原始日志中的 headers.x-forwarded-host 值会映射到 UDM 中的 principal.hostname
headers.x-forwarded-port principal.port 原始日志中的 headers.x-forwarded-port 值会映射到 UDM 中的 principal.port
headers.x-real-ip principal.ip 原始日志中的 headers.x-real-ip 值会映射到 UDM 中的 principal.ip
hostname observer.hostname 原始日志中的 hostname 值会映射到 UDM 中的 observer.hostname
httpHeaders.cf-cache-status target.resource.attribute.labels.value 原始日志中的 httpHeaders.cf-cache-status 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“cf-cache-status”的标签。
httpHeaders.cf-ray target.resource.attribute.labels.value 原始日志中的 httpHeaders.cf-ray 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“cf-ray”的标签。
httpHeaders.content-length security_result.about.resource.attribute.labels.value 原始日志中的 httpHeaders.content-length 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“httpHeaders Content-Length”的标签。
httpHeaders.content-type security_result.about.resource.attribute.labels.value 原始日志中的 httpHeaders.content-type 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“httpHeaders Content-Type”的标签。
httpHeaders.gitlab-lb target.resource.attribute.labels.value 原始日志中的 httpHeaders.gitlab-lb 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“gitlab-lb”的标签。
httpHeaders.gitlab-sv target.resource.attribute.labels.value 原始日志中的 httpHeaders.gitlab-sv 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“gitlab-sv”的标签。
httpHeaders.ratelimit-limit target.resource.attribute.labels.value 原始日志中的 httpHeaders.ratelimit-limit 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-limit”的标签。
httpHeaders.ratelimit-observed target.resource.attribute.labels.value 原始日志中的 httpHeaders.ratelimit-observed 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-observed”的标签。
httpHeaders.ratelimit-remaining target.resource.attribute.labels.value 原始日志中的 httpHeaders.ratelimit-remaining 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-remaining”的标签。
httpHeaders.ratelimit-reset target.resource.attribute.labels.value 原始日志中的 httpHeaders.ratelimit-reset 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-reset”的标签。
httpHeaders.ratelimit-resettime target.resource.attribute.labels.value 原始日志中的 httpHeaders.ratelimit-resettime 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“ratelimit-resettime”的标签。
httpHeaders.referrer-policy target.resource.attribute.labels.value 原始日志中的 httpHeaders.referrer-policy 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“referrer-policy”的标签。
httpHeaders.server target.resource.attribute.labels.value 原始日志中的 httpHeaders.server 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“server”的标签。
httpHeaders.x-content-type-options target.resource.attribute.labels.value 原始日志中的 httpHeaders.x-content-type-options 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“x-content-type-options”的标签。
httpHeaders.x-frame-options target.resource.attribute.labels.value 原始日志中的 httpHeaders.x-frame-options 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“x-frame-options”的标签。
httpHeaders.x-request-id target.resource.attribute.labels.value 原始日志中的 httpHeaders.x-request-id 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“x-request-id”的标签。
httpStatus network.http.response_code 原始日志中的 httpStatus 值会映射到 UDM 中的 network.http.response_code
httpUrl target.url 原始日志中的 httpUrl 值会映射到 UDM 中的 target.url
insertId metadata.product_log_id 原始日志中的 insertId 值会映射到 UDM 中的 metadata.product_log_id
job additional.fields.value.string_value 原始日志中的 job 值会映射到 UDM 中 additional.fields 下的键为“job id”的字段。
job_status additional.fields.value.string_value 原始日志中的 job_status 值会映射到 UDM 中 additional.fields 下的键为“job_status”的字段。
labels.compute.googleapis.com/resource_name target.resource.name 原始日志中的 labels.compute.googleapis.com/resource_name 值会映射到 UDM 中的 target.resource.name
labels.k8s-pod/app_kubernetes_io/instance target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/app_kubernetes_io/instance 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Kubernetes IO 实例”的标签。
labels.k8s-pod/app_kubernetes_io/name target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/app_kubernetes_io/name 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Kubernetes IO 实例名称”的标签。
labels.k8s-pod/component target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/component 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“component”的标签。
labels.k8s-pod/controller-revision-hash target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/controller-revision-hash 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Controller Revision Hash”的标签。
labels.k8s-pod/helm_sh/chart target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/helm_sh/chart 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Kubernetes IO Instance Manager SH”的标签。
labels.k8s-pod/vault-active target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/vault-active 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault active”的标签。
labels.k8s-pod/vault-initialized target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/vault-initialized 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault initialized”的标签。
labels.k8s-pod/vault-perf-standby target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/vault-perf-standby 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“vault perf standby”的标签。
labels.k8s-pod/vault-sealed target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/vault-sealed 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault sealed”的标签。
labels.k8s-pod/vault-version target.resource.attribute.labels.value 原始日志中的 labels.k8s-pod/vault-version 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“Vault 版本”的标签。
maskedToken security_result.about.resource.attribute.labels.value 原始日志中的 maskedToken 值会映射到 UDM 中 security_result.about.resource.attribute.labels 下的键为“maskedToken”的标签。
method network.http.methodoperation 原始日志中的 method 值会映射到 operation。如果 operation 不为空,则 network.application_protocol 会设置为“HTTP”。系统会根据 operation 的值派生 network.http.method
msg metadata.description 原始日志中的 msg 值会映射到 UDM 中的 metadata.description
pid target.process.pid 原始日志中的 pid 值会映射到 UDM 中的 target.process.pid
request.client_token target.resource.attribute.labels.value 原始日志中的 request.client_token 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_client_token”的标签。
request.client_token_accessor target.resource.attribute.labels.value 原始日志中的 request.client_token_accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_client_token_accessor”的标签。
request.data.role_id target.resource.attribute.labels.value 原始日志中的 request.data.role_id 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_data_role_id”的标签。
request.data.secret_id target.resource.attribute.labels.value 原始日志中的 request.data.secret_id 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_data_secret_id”的标签。
request.id network.session_id 原始日志中的 request.id 值会映射到 UDM 中的 network.session_id
request.mount_accessor target.resource.attribute.labels.value 原始日志中的 request.mount_accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_mount_accessor”的标签。
request.mount_type target.resource.attribute.labels.value 原始日志中的 request.mount_type 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_mount_type”的标签。
request.namespace.id target.namespace 原始日志中的 request.namespace.id 值会映射到 UDM 中的 target.namespace
request.operation target.resource.attribute.labels.valuenetwork.http.methodoperation 原始日志中的 request.operation 值会映射到 operation。如果 operation 不为空,则 network.application_protocol 会设置为“HTTP”。network.http.method 是根据 operation 的值派生的。request.operation 的值还会映射到 UDM 中 target.resource.attribute.labels 下的键为“capabilities”的标签。
request.path target.url 原始日志中的 request.path 值会映射到 UDM 中的 target.url
request.remote_address principal.ip 原始日志中的 request.remote_address 值会映射到 UDM 中的 principal.ip
request.remote_port principal.port 原始日志中的 request.remote_port 值会映射到 UDM 中的 principal.port
request.wrap_ttl target.resource.attribute.labels.value 原始日志中的 request.wrap_ttl 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“request_wrap_ttl”的标签。
resource.labels.container_name additional.fields.value.string_value 原始日志中的 resource.labels.container_name 值会映射到 UDM 中 additional.fields 下的键为“容器名称”的字段。
resource.labels.location target.location.name 原始日志中的 resource.labels.location 值会映射到 UDM 中的 target.location.name
resource.labels.namespace_name target.namespace 原始日志中的 resource.labels.namespace_name 值会映射到 UDM 中的 target.namespace
resource.labels.pod_name additional.fields.value.string_value 原始日志中的 resource.labels.pod_name 值会映射到 UDM 中 additional.fields 下的键为“pod_name”的字段。
resource.labels.project_id target.cloud.project.name 原始日志中的 resource.labels.project_id 值会映射到 UDM 中的 target.cloud.project.name
response.data.num_uses target.resource.attribute.labels.value 原始日志中的 response.data.num_uses 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_num_uses”的标签。
response.data.orphan target.resource.attribute.labels.value 原始日志中的 response.data.orphan 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_orphan”的标签。
response.data.renewable target.resource.attribute.labels.value 原始日志中的 response.data.renewable 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_renewable”的标签。
response.data.ttl target.resource.attribute.labels.value 原始日志中的 response.data.ttl 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_data_ttl”的标签。
response.wrap_info.accessor target.resource.attribute.labels.value 原始日志中的 response.wrap_info.accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_accessor”的标签。
response.wrap_info.token target.resource.attribute.labels.value 原始日志中的 response.wrap_info.token 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_token”的标签。
response.wrap_info.ttl target.resource.attribute.labels.value 原始日志中的 response.wrap_info.ttl 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_ttl”的标签。
response.wrap_info.wrapped_accessor target.resource.attribute.labels.value 原始日志中的 response.wrap_info.wrapped_accessor 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“response_wrap_info_wrapped_accessor”的标签。
runner principal.user.userid 原始日志中的 runner 值会映射到 UDM 中的 principal.user.userid
status network.http.response_code 原始日志中的 status 值会映射到 UDM 中的 network.http.response_code
streamingID target.resource.attribute.labels.value 原始日志中的 streamingID 值会映射到 UDM 中 target.resource.attribute.labels 下的键为“streamingID”的标签。
time metadata.event_timestamp.secondsmetadata.event_timestamp.nanos 系统会解析原始日志中的 time 值,并将其用于填充 UDM 中的 metadata.event_timestamp 字段。
type metadata.product_event_type 原始日志中的 type 值会映射到 UDM 中的 metadata.product_event_type
url principal.url 原始日志中的 url 值会映射到 UDM 中的 principal.url。在 UDM 中,将值“MACHINE”分配给 extensions.auth.type。在 UDM 中,将值“USER_LOGIN”分配给 metadata.event_type。在 UDM 中,将值“HASHICORP”分配给 metadata.log_type。在 UDM 中,将值“HASHICORP”分配给 metadata.product_name。在 UDM 中,将值“HASHICORP”分配给 metadata.vendor_name。在 UDM 中,将值“SERVICE_ACCOUNT”分配给 target.resource.attribute.roles.type

更改

2023-10-26

  • 添加了 Grok 模式来处理 SYSLOG+JSON 日志。

2023-09-22

  • 将“request.remote_port”的映射从“target.port”更改为“principal.port”。
  • 将“request.remote_address”的映射从“target.ip”更改为“principal.ip”。
  • 将“error”映射到“security_result.description”。
  • 将“resource.labels.namespace_name”映射到“target.namespace”。
  • 将“resource.labels.pod_name”“resource.labels.container_name”映射到“additional.fields”。
  • 将“resource.labels.project_id”映射到“target.cloud.project.name”。
  • 将“resource.labels.location”映射到“target.location.name”。
  • 将“insertId”映射到“metadata.product_log_id”。
  • 将“labels.k8s-pod/app_kubernetes_io/instance”“labels.k8s-pod/app_kubernetes_io/name”“labels.k8s-pod/component”“labels.k8s-pod/helm_sh/chart”“labels.k8s-pod/controller-revision-hash”“labels.k8s-pod/vault-initialized”“labels.k8s-pod/vault-version”“labels.k8s-pod/vault-sealed”“labels.k8s-pod/vault-perf-standby”和“labels.k8s-pod/vault-active”映射到“target.resource.attribute.labels”。
  • 将“labels.compute.googleapis.com/resource_name”映射到“target.resource.name”。

2023-04-26

  • 添加了 Grok 模式来处理 syslog 日志。
  • 将“status”映射到“network.http.response_code”。
  • 将“runner”映射到“principal.user.userid”
  • 将“job_id”“job_status”映射到“additional.fields”。

2023-03-24

  • 将“host”映射到“observer.hostname”。
  • 将“cluster”映射到“observer.resource.name”。
  • 如果日志包含集群,则将“集群”映射到“observer.resource.resource_type”。
  • 添加了 JSON 块,用于从“_raw”字段检索数据。
  • “httpStatus”已映射到“network.http.response_code”。
  • “httpUrl”映射到“target.url”。
  • “pid”已映射到“target.process.pid”。
  • “msg”映射到“metadata.description”。
  • “url”映射到“principal.url”。
  • “hostname”已映射到“observer.hostname”。
  • “streamingID”“requestId”“httpHeaders.cf-cache-status”“httpHeaders.cf-ray”“httpHeaders.gitlab-lb”“httpHeaders.gitlab-sv”“httpHeaders.x-request-id”“httpHeaders.x-content-type-options”“httpHeaders.x-frame-options”“httpHeaders.ratelimit-limit”“httpHeaders.ratelimit-observed”“httpHeaders.ratelimit-remaining”“httpHeaders.ratelimit-reset”“httpHeaders.ratelimit-resettime”“httpHeaders.server”“httpHeaders.referrer-policy”已映射到“target.resource.attribute.labels”。
  • “method”已映射到“network.application_protocol”。
  • “headers.user-agent”已映射到“network.http.parsed_user_agent”。
  • “httpHeaders.cache-control”已映射到“additional.fields”。
  • “httpHeaders.content-type”“httpHeaders.content-length”“maskedToken”“headers.accept”已映射到“security_result.about.resource.attribute.labels”。
  • “headers.x-real-ip”已映射到“principal.ip”。
  • “headers.x-forwarded-host”已映射到“principal.hostname”。
  • “headers.x-forwarded-port”已映射到“principal.port”。
  • “headers.snyk-acting-org-public-id”“headers.snyk-flow-name”“headers.snyk-request-id”已映射到“principal.resource.attribute.labels”。

2023-02-09

  • 新创建的解析器。