此页面由 Cloud Translation API 翻译。

收集 Imperva Incapsula Web 应用防火墙日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何通过设置 Google 安全运营 Feed 来注入 Imperva Incapsula Web Application Firewall 日志。

如需了解详情，请参阅将数据提取到 Google 安全运营中心。

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 IMPERVA_WAF 注入标签的解析器。

配置 Incapsula WAF

使用读者账号登录 my.imperva.com。
依次选择管理 > 用户 > 添加用户。只有拥有账号管理员权限或其他必要权限的用户才能向账号添加新用户。系统会向用户和账号管理员名单中的地址发送验证电子邮件。
点击电子邮件中的链接，验证新用户的电子邮件地址并设置登录密码。

注意：对于子账号下已上线的网站，需要在子账号一级添加用户。

生成读者用户的 API ID 和 API 密钥

登录 my.imperva.com 账号。
前往管理，然后选择用户。
选择具有“读者”角色的用户。
前往设置，然后选择 API 密钥。
为 API 密钥提供名称。
在API 密钥将于列表中，选择永不过期。
如需启用此状态，请选择状态。
点击保存。
从随即显示的对话框中复制并保存 API 密钥和 API ID。在配置 Google Security Operations Feed 时，您需要 API 密钥和 API ID。
可选：您可以提供已获批准的 IP 地址列表，也可以将其留空。

在 Google Security Operations 中配置 Feed 以注入 Imperva Incapsula Web Application Firewall 日志

依次选择 SIEM 设置 > Feed。
点击新增。
为Feed 名称输入一个具有唯一性的名称。
选择第三方 API 作为来源类型。
选择 Imperva 作为日志类型。
在身份验证 HTTP 标头配置中提供 API ID 和 API 密钥。
点击下一步，然后点击提交。

如需详细了解 Google Security Operations Feed，请参阅 Google Security Operations Feed 文档。如需了解每种 Feed 类型的要求，请参阅按类型配置 Feed。

如果您在创建 Feed 时遇到问题，请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器可处理 Imperva Web 应用防火墙 (WAF) 中的 CEF（通用事件格式）和 LEEF（日志事件扩展格式）格式日志，以及 JSON 格式日志。它会根据检测到的日志格式提取字段、执行数据转换，并将数据映射到 UDM。该解析器还会处理特定的 Imperva 事件类型（例如“攻击分析”）和各种操作（例如“允许”“屏蔽”和“拒绝”），并将其映射到适当的 UDM 字段。

Imperva Parser UDM 映射表

日志字段	UDM 映射	逻辑
`account_id`	`target.user.userid`	JSON 载荷中的账号 ID 会映射到目标用户的 ID。
`act`	`security_result.action`（允许/屏蔽/失败/未知），`security_result.action_details`	`act` 字段用于确定 UDM 操作和操作详情。`allowed`、`alert`、`REQ_PASSED`、`REQ_CACHED` 映射到“允许”。`deny`、`blocked`、`REQ_BLOCKED`、`REQ_CHALLENGE` 会映射到“不准发布”。`REQ_BAD` 映射到 FAIL。操作详情会根据具体 `act` 值提供更多背景信息。
`additionalReqHeaders`	未映射	这些标头目前未映射到 IDM 对象。
`additionalResHeaders`	未映射	这些标头目前未映射到 IDM 对象。
`app`	`network.application_protocol`	应用协议（例如HTTP、HTTPS）从 `app` 字段中提取并转换为大写。
`calCountryOrRegion`	`principal.location.country_or_region`	从 LEEF 数据中提取的国家/区域代码。
`cat`	`security_result.action`（允许/屏蔽/失败/未知），`security_result.action_details`	与 `act` 类似的逻辑，用于确定 LEEF 格式的操作和操作详情。
`ccode`	未映射	此字段目前未映射到 IDM 对象。
`ccpt`	未映射	此字段目前未映射到 IDM 对象。
`cef_version`	未映射	仅供内部使用。
`cicode`	`principal.location.city`	从 LEEF 数据中提取的城市信息。
`client.domain`	`principal.hostname`，`principal.asset.hostname`	JSON 载荷中的客户端网域。
`client.geo.country_iso_code`	`principal.location.country_or_region`	JSON 载荷中的国家/地区代码。
`client.ip`	`principal.ip`，`principal.asset.ip`	JSON 载荷中的客户端 IP。
`cn1`	`network.http.response_code`	从 LEEF 或 CEF 数据中提取的 HTTP 响应代码。转换为整数。
`context_key`	`target.resource.name`	JSON 载荷中的上下文键，用作资源名称。
`cpt`	未映射	此字段目前未映射到 IDM 对象。
`cs1`	`security_result.detection_fields`	如果存在且不为“N/A”，则创建一个检测字段，其键来自 `cs1Label`，值来自 `cs1`。
`cs2`	`security_result.detection_fields`	创建一个检测字段，其键来自 `cs2Label`，值来自 `cs2`。
`cs3`	`security_result.detection_fields`	如果存在且不为“-”，则创建一个检测字段，其键来自 `cs3Label`，值来自 `cs3`。
`cs4`	`security_result.detection_fields`	创建一个检测字段，其键来自 `cs4Label`，值来自 `cs4`。
`cs5`	`security_result.detection_fields`	创建一个检测字段，其键来自 `cs5Label`，值来自 `cs5`。
`cs6`	`principal.application`	由负责人使用的应用，从 LEEF 数据中提取。
`cs7`	`principal.location.region_latitude`	从 LEEF 或 CEF 数据中提取的纬度。已转换为浮点数。
`cs8`	`principal.location.region_longitude`	从 LEEF 或 CEF 数据中提取的经度。已转换为浮点数。
`cs9`	`security_result.rule_name`，`extensions.vulns.vulnerabilities.name`	规则名称或漏洞名称，具体取决于日志格式。
`Customer`	`target.user.user_display_name`	LEEF 数据中的客户名称，已映射到目标用户显示名称。
`data`	多种（请参阅其他字段）	包含 CEF、LEEF 或 JSON 的原始日志数据字段。
`description`	`security_result.threat_name` (CEF)、`metadata.description`（攻击分析）	CEF 或攻击分析日志中的说明，已映射到威胁名称或元数据说明。
`deviceExternalId`	`network.community_id`	LEEF 数据中的设备 ID，已映射到网络社区 ID。
`deviceFacility`	未映射	此字段目前未映射到 IDM 对象。
`deviceReceiptTime`	`metadata.event_timestamp`	从各种字段（`rt`、`start`、`log_timestamp`）提取的时间戳，具体取决于可用性和格式。使用 `date` 过滤器解析。
`dhost`	`target.hostname`	CEF 数据中的目标主机名。
`dproc`	`security_result.category_details`	设备进程（例如浏览器、聊天机器人）的相关数据。
`dst`	`target.ip`，`target.asset.ip`	来自 CEF 或 LEEF 数据的目标 IP 地址。
`dpt`	`target.port`	CEF 数据中的目标端口。转换为整数。
`duser`	`target.user.userid`	CEF 数据中的目标用户 ID。
`end`	`security_result.detection_fields`	创建一个键为“event_end_time”且值来自 `end` 的检测字段。
`event.id`	未映射	此字段目前未映射到 IDM 对象。
`event_attributes`	多种（请参阅其他字段）	从 LEEF 数据中提取的属性。
`event_id`	未映射	仅供内部使用。
`fileId`	`network.session_id`	LEEF 数据中的文件 ID，已映射到网络会话 ID。
`filePermission`	`security_result.detection_fields`，`security_result.rule_type`	LEEF 数据中的文件权限，用作检测字段和规则类型。
`fileType`	`security_result.detection_fields`，`security_result.rule_type`	LEEF 数据中的文件类型，用作检测字段和规则类型。
`flexString1`	`network.http.response_code`	来自 CEF 数据的响应代码。转换为整数。
`http.request.body.bytes`	`network.sent_bytes`	通过 JSON 载荷在 HTTP 请求正文中发送的字节数。已转换为无符号整数。
`http.request.method`	`network.http.method`	JSON 载荷中的 HTTP 请求方法。
`imperva.abp.apollo_rule_versions`	`security_result.detection_fields`	为每个 Apollo 规则版本创建检测字段。
`imperva.abp.bot_behaviors`	`security_result.detection_fields`	为每种聊天机器人行为创建检测字段。
`imperva.abp.bot_deciding_condition_ids`	`security_result.detection_fields`	为每个聊天机器人决策条件 ID 创建检测字段。
`imperva.abp.bot_deciding_condition_names`	`security_result.detection_fields`	为每个聊天机器人决策条件名称创建检测字段。
`imperva.abp.bot_triggered_condition_ids`	`security_result.detection_fields`	为每个聊天机器人触发的条件 ID 创建检测字段。
`imperva.abp.bot_triggered_condition_names`	`security_result.detection_fields`	为每个聊天机器人触发的条件名称创建检测字段。
`imperva.abp.bot_violations`	`security_result.detection_fields`	为每项聊天机器人违规行为创建检测字段。
`imperva.abp.customer_request_id`	`network.session_id`	JSON 载荷中的客户请求 ID，用作网络会话 ID。
`imperva.abp.deciding_tags`	未映射	这些代码目前未映射到 IDM 对象。
`imperva.abp.hsig`	`security_result.detection_fields`	创建一个键为“hsig”且值来自 `imperva.abp.hsig` 的检测字段。
`imperva.abp.headers_accept`	未映射	此字段目前未映射到 IDM 对象。
`imperva.abp.headers_accept_charset`	未映射	此字段目前未映射到 IDM 对象。
`imperva.abp.header_names`	未映射	这些标头名称目前未映射到 IDM 对象。
`imperva.abp.headers_cookie_length`	未映射	此字段目前未映射到 IDM 对象。
`imperva.abp.header_lengths`	未映射	这些标头长度目前未映射到 IDM 对象。
`imperva.abp.monitor_action`	`security_result.action`（允许/屏蔽），`security_result.severity`（信息性）	监控 JSON 载荷中的操作。“allow”会映射到“ALLOW”和“INFORMATIONAL”严重级别。“captcha”和“block”映射到 BLOCK。
`imperva.abp.pid`	`principal.process.pid`	JSON 载荷中的进程 ID。
`imperva.abp.policy_id`	`security_result.detection_fields`	创建一个键为“Policy Id”且值来自 `imperva.abp.policy_id` 的检测字段。
`imperva.abp.policy_name`	`security_result.detection_fields`	创建一个键为“Policy Name”（政策名称）且值来自 `imperva.abp.policy_name` 的检测字段。
`imperva.abp.random_id`	`additional.fields`	创建一个键为“Random Id”且值来自 `imperva.abp.random_id` 的附加字段。
`imperva.abp.request_path_decoded`	`target.process.file.full_path`	从 JSON 载荷解码的请求路径，用作进程路径。
`imperva.abp.request_type`	`principal.labels`	JSON 载荷中的请求类型，用作主要标签。
`imperva.abp.selector`	`security_result.detection_fields`	创建一个键为“selector”且值来自 `imperva.abp.selector` 的检测字段。
`imperva.abp.selector_derived_id`	`security_result.detection_fields`	创建一个键为“selector_derived_id”且值来自 `imperva.abp.selector_derived_id` 的检测字段。
`imperva.abp.tls_fingerprint`	`security_result.description`	JSON 载荷中的 TLS 指纹，用于作为安全结果说明。
`imperva.abp.triggered_tags`	未映射	这些代码目前未映射到 IDM 对象。
`imperva.abp.zuid`	`additional.fields`	创建一个键为“zuid”且值来自 `imperva.abp.zuid` 的附加字段。
`imperva.additional_factors`	`additional.fields`	为每个额外的因素创建额外的字段。
`imperva.audit_trail.event_action`	`security_result.detection_fields`	创建一个检测字段，其键来自 `event_action`，值来自 `event_action_description`。
`imperva.audit_trail.event_action_description`	`security_result.detection_fields`	用作根据 `event_action` 创建的检测字段的值。
`imperva.audit_trail.event_context`	`security_result.detection_fields`	创建一个检测字段，其键来自 `event_context`，值来自 `event_context_description`。
`imperva.audit_trail.event_context_description`	`security_result.detection_fields`	用作根据 `event_context` 创建的检测字段的值。
`imperva.classified_client`	`security_result.detection_fields`	创建一个键为“classified_client”且值来自 `imperva.classified_client` 的检测字段。
`imperva.country`	`principal.location.country_or_region`	JSON 载荷中的国家/地区代码。
`imperva.credentials_leaked`	`security_result.detection_fields`	创建一个键为“credentials_leaked”且值来自 `imperva.credentials_leaked` 的检测字段。
`imperva.declared_client`	`security_result.detection_fields`	创建一个键为“declared_client”且值来自 `imperva.declared_client` 的检测字段。
`imperva.device_reputation`	`additional.fields`	创建一个键为“device_reputation”且包含 `imperva.device_reputation` 中值列表的附加字段。
`imperva.domain_risk`	`security_result.detection_fields`	创建一个键为“domain_risk”且值来自 `imperva.domain_risk` 的检测字段。
`imperva.failed_logins_last_24h`	`security_result.detection_fields`	创建一个检测字段，其键为“failed_logins_last_24h”，值来自 `imperva.failed_logins_last_24h`。
`imperva.fingerprint`	`security_result.detection_fields`	创建一个键为“log_imperva_fingerprint”且值来自 `imperva.fingerprint` 的检测字段。
`imperva.ids.account_id`	`metadata.product_log_id`	JSON 载荷中的账号 ID，用作商品日志 ID。
`imperva.ids.account_name`	`metadata.product_event_type`	JSON 载荷中的账号名称，用作产品事件类型。
`imperva.ids.site_id`	`additional.fields`	创建一个键为“site_id”且值来自 `imperva.ids.site_id` 的额外字段。
`imperva.ids.site_name`	`additional.fields`	创建一个键为“site_name”且值来自 `imperva.ids.site_name` 的附加字段。
`imperva.referrer`	`network.http.referral_url`	JSON 载荷中的引荐来源网址。
`imperva.request_id`	`network.session_id`	JSON 载荷中的请求 ID，用作网络会话 ID。
`imperva.request_session_id`	`network.session_id`	从 JSON 载荷请求会话 ID，用于作为广告联盟会话 ID。
`imperva.request_user`	`security_result.detection_fields`	创建一个键为“request_user”且值来自 `imperva.request_user` 的检测字段。
`imperva.risk_level`	`security_result.severity`（高/严重/中/低），`security_result.severity_details`	JSON 载荷中的风险级别。已映射到 UDM 严重性。也用作严重程度详细信息。
`imperva.risk_reason`	`security_result.description`	JSON 载荷中的风险原因，用于作为安全结果说明。
`imperva.significant_domain_name`	`security_result.detection_fields`	创建一个键为“significant_domain_name”且值来自 `imperva.significant_domain_name` 的检测字段。
`imperva.successful_logins_last_24h`	`security_result.detection_fields`	创建一个键为“successful_logins_last_24h”且值来自 `imperva.successful_logins_last_24h` 的检测字段。
`imperva.violated_directives`	`security_result.detection_fields`	为每个违反的准则创建检测字段。
`in`	`network.received_bytes`	通过网络从 LEEF 数据接收的字节数。已转换为无符号整数。
`leef_version`	未映射	仅供内部使用。
`log.@timestamp`	`metadata.event_timestamp`	JSON 载荷中的时间戳，使用 `date` 过滤器解析。如果 `log.time` 不可用，则使用此属性。
`log.client.geo.country_iso_code`	`principal.location.country_or_region`	嵌套 JSON 载荷中的国家/地区代码。
`log.client.ip`	`principal.ip`，`principal.asset.ip`	嵌套 JSON 载荷中的客户端 IP。
`log.context_key`	`target.resource.name`	嵌套 JSON 载荷中的上下文键，用作资源名称。
`log.event.provider`	`principal.user.user_display_name`	嵌套 JSON 载荷中的事件提供方，用作主要用户显示名称。
`log.http.request.body.bytes`	`network.sent_bytes`	嵌套 JSON 载荷中的请求正文字节。已转换为无符号整数。
`log.http.request.method`	`network.http.method`、`network.application_protocol` (HTTP)	嵌套 JSON 载荷中的 HTTP 方法。如果存在，将应用协议设置为 HTTP。
`log.imperva.abp.bot_behaviors`	`security_result.detection_fields`	根据嵌套的 JSON 载荷为每种聊天机器人行为创建检测字段。
`log.imperva.abp.bot_deciding_condition_ids`	`security_result.detection_fields`	根据嵌套的 JSON 载荷为每个决定条件 ID 的聊天机器人创建检测字段。
`log.imperva.abp.bot_deciding_condition_names`	`security_result.detection_fields`	根据嵌套的 JSON 载荷为每个决定条件名称的聊天机器人创建检测字段。
`log.imperva.abp.bot_triggered_condition_ids`	`security_result.detection_fields`	根据嵌套的 JSON 载荷为每个聊天机器人触发的条件 ID 创建检测字段。
`log.imperva.abp.bot_triggered_condition_names`	`security_result.detection_fields`	根据嵌套的 JSON 载荷为每个聊天机器人触发的条件名称创建检测字段。
`log.imperva.abp.bot_violations`	`security_result.detection_fields`	根据嵌套的 JSON 载荷为每个聊天机器人违规行为创建检测字段。
`log.imperva.abp.customer_request_id`	`network.session_id`	嵌套 JSON 载荷中的客户请求 ID，用作网络会话 ID。
`log.imperva.abp.headers_accept`	未映射	此字段目前未映射到 IDM 对象。
`log.imperva.abp.headers_accept_charset`	未映射	此字段目前未映射到 IDM 对象。
`log.imperva.abp.headers_accept_encoding`	`security_result.detection_fields`	创建一个键为“Accept Encoding”且值来自 `log.imperva.abp.headers_accept_encoding` 的检测字段。
`log.imperva.abp.headers_accept_language`	`security_result.detection_fields`	创建一个检测字段，其键为“Accept Language”，值来自 `log.imperva.abp.headers_accept_language`。
`log.imperva.abp.headers_cf_connecting_ip`	未映射	此字段目前未映射到 IDM 对象。
`log.imperva.abp.headers_connection`	`security_result.detection_fields`	创建一个键为“headers_connection”且值来自 `log.imperva.abp.headers_connection` 的检测字段。
`log.imperva.abp.headers_cookie_length`	未映射	此字段目前未映射到 IDM 对象。
`log.imperva.abp.headers_host`	未映射	此字段目前未映射到 IDM 对象。
`log.imperva.abp.header_lengths`	未映射	这些标头长度目前未映射到 IDM 对象。
`log.imperva.abp.header_names`	未映射	这些标头名称目前未映射到 IDM 对象。
`log.imperva.abp.hsig`	`security_result.detection_fields`	创建一个键为“hsig”且值来自 `log.imperva.abp.hsig` 的检测字段。
`log.imperva.abp.monitor_action`	`security_result.action`（允许/屏蔽），`security_result.severity`（信息性）	监控嵌套 JSON 载荷中的操作。“allow”会映射到“ALLOW”和“INFORMATIONAL”严重级别。“captcha”和“block”映射到“BLOCK”。
`log.imperva.abp.pid`	`principal.process.pid`	嵌套 JSON 载荷中的进程 ID。
`log.imperva.abp.policy_id`	`security_result.detection_fields`	创建一个键为“Policy Id”且值来自 `log.imperva.abp.policy_id` 的检测字段。
`log.imperva.abp.policy_name`	`security_result.detection_fields`	创建一个键为“Policy Name”（政策名称）且值来自 `log.imperva.abp.policy_name` 的检测字段。
`log.imperva.abp.random_id`	`additional.fields`	创建一个键为“Random Id”且值来自 `log.imperva.abp.random_id` 的附加字段。
`log.imperva.abp.request_path_decoded`	`target.process.file.full_path`	从嵌套 JSON 载荷解码的请求路径，用作进程路径。
`log.imperva.abp.request_type`	`principal.labels`	嵌套 JSON 载荷中的请求类型，用作主要标签。
`log.imperva.abp.selector`	`security_result.detection_fields`	创建一个键为“selector”且值来自 `log.imperva.abp.selector` 的检测字段。
`log.imperva.abp.selector_derived_id`	`security_result.detection_fields`	创建一个键为“selector_derived_id”且值来自 `log.imperva.abp.selector_derived_id` 的检测字段。
`log.imperva.abp.tls_fingerprint`	`security_result.description`	嵌套 JSON 载荷中的 TLS 指纹，用作安全结果说明。
`log.imperva.abp.token_expire`	未映射	此字段目前未映射到 IDM 对象。
`log.imperva.abp.token_id`	`target.resource.product_object_id`	嵌套 JSON 载荷中的令牌 ID，用作资源商品对象 ID。
`log.imperva.abp.triggered_tags`	未映射	这些代码目前未映射到 IDM 对象。
`log.imperva.abp.zuid`	`additional.fields`	创建一个键为“zuid”且值来自 `log.imperva.abp.zuid` 的附加字段。
`log.imperva.additional_factors`	`additional.fields`	为嵌套 JSON 载荷中的每个其他因子创建其他字段。
`log.imperva.audit_trail.event_action`	`security_result.detection_fields`	从嵌套 JSON 载荷中创建一个检测字段，其键来自 `event_action`，值来自 `event_action_description`。
`log.imperva.audit_trail.event_action_description`	`security_result.detection_fields`	用于作为嵌套 JSON 载荷中 `event_action` 创建的检测字段的值。
`log.imperva.audit_trail.event_context`	`security_result.detection_fields`	从嵌套 JSON 载荷中创建一个检测字段，其键来自 `event_context`，值来自 `event_context_description`。
`log.imperva.audit_trail.event_context_description`	`security_result.detection_fields`	用于作为嵌套 JSON 载荷中 `event_context` 创建的检测字段的值。
`log.imperva.classified_client`	`security_result.detection_fields`	创建一个键为“classified_client”且值来自 `log.imperva.classified_client` 的检测字段。
`log.imperva.country`	`principal.location.country_or_region`	嵌套 JSON 载荷中的国家/地区代码。
`log.imperva.credentials_leaked`	`security_result.detection_fields`	创建一个键为“credentials_leaked”且值来自 `log.imperva.credentials_leaked` 的检测字段。
`log.imperva.declared_client`	`security_result.detection_fields`	创建一个键为“declared_client”且值来自 `log.imperva.declared_client` 的检测字段。
`log.imperva.device_reputation`	`additional.fields`	创建一个键为“device_reputation”且包含 `log.imperva.device_reputation` 中值列表的附加字段。
`log.imperva.domain_risk`	`security_result.detection_fields`	创建一个键为“domain_risk”且值来自 `log.imperva.domain_risk` 的检测字段。
`log.imperva.failed_logins_last_24h`	`security_result.detection_fields`	创建一个检测字段，其键为“failed_logins_last_24h”，值来自 `log.imperva.failed_logins_last_24h`。
`log.imperva.fingerprint`	`security_result.detection_fields`	创建一个键为“log_imperva_fingerprint”且值来自 `log.imperva.fingerprint` 的检测字段。
`log.imperva.ids.account_id`	`metadata.product_log_id`	嵌套 JSON 载荷中的账号 ID，用作商品日志 ID。
`log.imperva.ids.account_name`	`metadata.product_event_type`	嵌套 JSON 载荷中的账号名称，用作产品事件类型。
`log.imperva.ids.site_id`	`additional.fields`	创建一个键为“site_id”且值来自 `log.imperva.ids.site_id` 的额外字段。
`log.imperva.ids.site_name`	`additional.fields`	创建一个键为“site_name”且值来自 `log.imperva.ids.site_name` 的额外字段。
`log.imperva.path`	`principal.process.file.full_path`	嵌套 JSON 载荷中的路径，用作进程路径。
`log.imperva.referrer`	`network.http.referral_url`	嵌套 JSON 载荷中的引荐来源网址。
`log.imperva.request_id`	`network.session_id`	嵌套 JSON 载荷中的请求 ID，用作网络会话 ID。
`log.imperva.request_session_id`	`network.session_id`	从嵌套 JSON 载荷请求会话 ID，以用作网络会话 ID。
`log.imperva.request_user`	`security_result.detection_fields`	创建一个键为“request_user”且值来自 `log.imperva.request_user` 的检测字段。
`log.imperva.risk_level`	`security_result.severity`（高/严重/中/低），`security_result.severity_details`	嵌套 JSON 载荷中的风险级别。已映射到 UDM 严重性。也用作严重程度详细信息。
`log.imperva.risk_reason`	`security_result.description`	嵌套 JSON 载荷中的风险原因，用于作为安全结果说明。
`log.imperva.significant_domain_name`	`security_result.detection_fields`	创建一个键为“significant_domain_name”且值来自 `log.imperva.significant_domain_name` 的检测字段。
`log.imperva.successful_logins_last_24h`	`security_result.detection_fields`	创建一个键为“successful_logins_last_24h”且值来自 `log.imperva.successful_logins_last_24h` 的检测字段。
`log.imperva.violated_directives`	`security_result.detection_fields`	从嵌套的 JSON 载荷中为每个违反的准则创建检测字段。
`log.message`	`metadata.description`	来自嵌套 JSON 载荷的消息，如果没有其他说明，则用作元数据说明。
`log.resource_id`	`target.resource.id`	嵌套 JSON 载荷中的资源 ID。
`log.resource_type_key`	`target.resource.type`	嵌套 JSON 载荷中的资源类型键。
`log.server.domain`	`target.hostname`，`target.asset.hostname`	嵌套 JSON 载荷中的服务器域名。
`log.server.geo.name`	`target.location.name`	嵌套 JSON 载荷中的服务器位置名称。
`log.time`	`metadata.event_timestamp`	嵌套 JSON 载荷中的时间戳，使用 `date` 过滤器解析。
`log.type_key`	`metadata.product_event_type`	嵌套 JSON 载荷中的类型键，用作商品事件类型。
`log.user.email`	`principal.user.email_addresses`	嵌套 JSON 载荷中的用户电子邮件地址。
`log.user_agent.original`	`network.http.parsed_user_agent`	嵌套 JSON 载荷中的用户代理，使用 `useragent` 过滤器解析。
`log.user_details`	`principal.user.email_addresses`	嵌套 JSON 载荷中的用户详细信息，如果与电子邮件格式匹配，则用作电子邮件地址。
`log.user_id`	`principal.user.userid`	嵌套 JSON 载荷中的用户 ID。
`log_timestamp`	`metadata.event_timestamp`	来自 syslog 的日志时间戳，如果没有其他时间戳，则用作事件时间戳。
`log_type`	未映射	仅供内部使用。
`message`	多种（请参阅其他字段）	包含日志数据的消息字段。
`metadata.event_type`	`metadata.event_type`	对于 CEF 和 JSON 日志，请将其设置为“NETWORK_HTTP”；对于攻击分析日志，请将其设置为“SCAN_UNCATEGORIZED”；如果 `src` 为“分布式”，请将其设置为“USER_UNCATEGORIZED”；对于包含 `type_key` 的 JSON 日志，请将其设置为“USER_STATS”；对于包含客户端 IP 或网域和服务器网域的 JSON 日志，请将其设置为“STATUS_UPDATE”；对于其他 JSON 日志，请将其设置为“GENERIC_EVENT”。
`metadata.log_type`	`metadata.log_type`	设为“IMPERVA_WAF”。
`metadata.product_event_type`	`metadata.product_event_type`	根据日志格式（`csv.event_id`、`log.imperva.ids.account_name`、`log.type_key`）从各种字段填充。
`metadata.product_name`	`metadata.product_name`	设置为“Web 应用防火墙”。
`metadata.vendor_name`	`metadata.vendor_name`	设置为“Imperva”。
`msg`	未映射	此字段目前未映射到 IDM 对象。
`organization`	未映射	仅供内部使用。
`payload`	多种（请参阅其他字段）	从 CEF 数据中提取的载荷。
`popName`	`intermediary.location.country_or_region`	LEEF 数据中的 PoP 名称，已映射到中间位置。
`postbody`	`security_result.detection_fields`	创建一个键为“post_body_info”且值来自 `postbody` 的检测字段。
`product_version`	未映射	仅供内部使用。
`proto`	`network.application_protocol`	LEEF 数据中的协议，映射到网络应用协议。
`protoVer`	`network.tls.version`，`network.tls.cipher`	LEEF 数据中的协议版本，会解析以提取 TLS 版本和加密方式。
`qstr`	附加到 `target.url`	LEEF 数据中的查询字符串，附加到目标网址。
`ref`	`network.http.referral_url`	LEEF 数据中的引荐网址。
`request`	`target.url`	从 CEF 数据请求网址。
`requestClientApplication`	`network.http.user_agent`	从 LEEF 或 CEF 数据请求客户端应用，映射到网络 HTTP 用户代理。
`requestContext`	`network.http.user_agent`	来自 CEF 数据的请求上下文，映射到网络 HTTP 用户代理。
`requestMethod`	`network.http.method`	LEEF 或 CEF 数据中的请求方法，已映射到网络 HTTP 方法并转换为大写形式。
`resource_id`	`target.resource.id`	JSON 载荷中的资源 ID。
`resource_type_key`	`target.resource.type`	JSON 载荷中的资源类型键。
`rt`	`metadata.event_timestamp`	CEF 数据中的接收时间，用作事件时间戳。
`security_result.action`	`security_result.action`	根据 `act` 或 `cat` 的值进行设置。
`security_result.action_details`	`security_result.action_details`	根据 `act` 或 `cat` 的值提供其他上下文。
`security_result.category_details`	`security_result.category_details`	设置为 `dproc` 的值。
`security_result.detection_fields`	`security_result.detection_fields`	包含从日志数据中提取的各种键值对。
`security_result.description`	`security_result.description`	设置为 `imperva.risk_reason` 或 `log.imperva.abp.tls_fingerprint` 的值。
`security_result.rule_name`	`security_result.rule_name`	设置为 `cs9` 的值。
`security_result.rule_type`	`security_result.rule_type`	设置为 `fileType` 的值。
`security_result.severity`	`security_result.severity`	根据 `sevs` 或 `imperva.risk_level` 的值进行设置。
`security_result.severity_details`	`security_result.severity_details`	设置为 `imperva.risk_level` 的值。
`security_result.threat_id`

变化

2024-04-02

将“log.imperva.request_user”映射到“security_result.detection_fields”。
将“log.imperva.classified_client”映射到“security_result.detection_fields”。

2024-02-26

将“log.imperva.request_session_id”映射到“network.session_id”。
将“log.imperva.successful_logins_last_24h”“log.imperva.path”和“log.imperva.failed_logins_last_24h”映射到“security_result.detection_fields”。
将“log.imperva.risk_reason”映射到“security_result.severity_details”和“security_result.severity”。
将“additional_factor”“log.imperva.device_reputation”和“log.imperva.credentials_leaked”映射到“additional.fields”。
将“log.imperva.fingerprint”映射到“security_result.description”。
将“log.imperva.referrer”映射到“network.http.referral_url”。
将“log.imperva.classified_client”映射到“principal.process.file.full_path”

2024-02-06

在 json_array 的“for 循环”内，将“accept_encoding_label”“site_name_label”“random_id_label”“request_type_label”“accept_language_label”“headers_connection_label”“zuid_labels”“site_id_label”“policy_id”“policy_name”“selector_derived_id”“hsig”“selector”“detection_fields_event_action”“detection_fields_event_context”“detection_fields_significant_domain_name”和“detection_fields_domain_risk”初始化为 null。

2024-01-27

将“description”映射到“security_result.threat_name”。
将“severity”映射到“security_result.threat_id”。
将“kv.src”“src”和“log.client.ip”映射到“principal.asset.ip”。
将“kv.dst”和“dst”映射到“target.asset.ip”。
将“kv.dvc”映射到“about.asset.ip”。
将“kv.cs9”和“cs9”映射到“security_result.rule_name”。
将“kv.fileType”和“fileType”映射到“security_result.rule_type”。
将“dst”映射到“target.asset.ip”。
将“xff”和“forwardedIp”映射到“intermediary.asset.ip”。
将“log.client.domain”映射到“principal.asset.hostname”。
将“log.server.domain”映射到“target.asset.hostname”。

2023-10-16

bug 修复：
将 json_array 的“for 循环”中的“security_result”和“security_action”初始化为 null。
在将“security_action”合并到“security_result.action”之前添加了 null 检查。
如果“log.imperva.abp.monitor_action”为“block”，则将“security_action”映射到“BLOCK”。

2023-09-26

在 CSP 日志中将“significant_domain_name”“domain_risk”“violated_directives”映射到“security_result.detection_fields”。

2023-08-07

bug 修复 -
添加了对解析 JSON 日志数组的支持。
添加了 Grok 模式，以便在将“xff”映射到“intermediary.hostname”之前检查主机名。

2023-06-16

解决了由于两个字段使用单个 on_error 而导致的提交前问题。

2023-06-16

bug 修复 -
将“imperva.audit_trail.event_action”映射到“security_result.detection_fields”。
将“imperva.audit_trail.event_action_description”映射到“security_result.detection_fields”。
将“imperva.audit_trail.event_context”映射到“security_result.detection_fields”。
将“imperva.audit_trail.event_context_description”映射到“security_result.detection_fields”。
修复了时间戳解析问题。
丢弃了格式错误的日志。

2023-06-08

增强功能 -
将“imperva.abp.apollo_rule_versions”映射到“security_result.detection_fields”。
将“imperva.abp.bot_violations”映射到“security_result.detection_fields”。
将“imperva.abp.bot_behaviors”映射到“security_result.detection_fields”。
将“imperva.abp.bot_deciding_condition_ids”映射到“security_result.detection_fields”。
将“imperva.abp.bot_deciding_condition_names”映射到“security_result.detection_fields”。
将“imperva.abp.bot_triggered_condition_ids”映射到“security_result.detection_fields”。
将“imperva.abp.bot_triggered_condition_names”映射到“security_result.detection_fields”。

2023-04-26

增强功能 -
在 statedata 中定义了字段“kv.src”。
将“kvdata.ver”映射到“network.tls.version”和“network.tls.cipher”。
将“kvdata.sip”映射到“principal.ip”。
将“kvdata.spt”映射到“principal.port”。
将“kvdata.act”映射到“security_result.action_details”。
将“kvdata.app”映射到“network.application_protocol”。
将“kvdata.requestMethod”映射到“network.http.method”。

2023-02-04

增强功能 -
针对“deviceReceiptTime”字段，在“event.timestamp”中添加了 rebase = true。

2023-01-19

增强功能 -
通过添加以下映射，为解析器日志添加了支持。
将“event.provider”映射到“principal.user.userid”。
将“client.ip”映射到“principal.ip”。
将“client.domain”映射到“principal.hostname”。
将“imperva.abp.request_type”映射到“principal.labels”。
将“imperva.abp.pid”映射到“principal.process.pid”。
将“client.geo.country_iso_code”映射到“principal.location.country_or_region”。
将“server.domain”映射到“target.hostname”。
将“server.geo.name”映射到“target.location.name”。
将“url.path”映射到“target.process.file.full_path”。
将“imperva.abp.customer_request_id”映射到“target.resource.id”。
将“imperva.abp.token_id”映射到“target.resource.product_object_id”。
将“imperva.abp.random_id”映射到“additional.fields”。
将“http.request.method”映射到“network.http.method”。
将“user_agent.original”映射到“network.http.parsed_user_agent”。
将“imperva.abp.headers_referer”映射到“network.http.referral_url”。
将“imperva.abp.zuid”映射到“additional.fields”。
将“imperva.ids.site_name”映射到“additional.fields”。
将“imperva.ids.site_id”映射到“additional.fields”。
将“imperva.ids.account_name”映射到“metadata.product_event_type”。
将“imperva.ids.account_id”映射到“metadata.product_log_id”。
将“imperva.abp.headers_accept_encoding”映射到“security_result.detection_fields”。
将“imperva.abp.headers_accept_language”映射到“security_result.detection_fields”。
将“imperva.abp.headers_connection”映射到“security_result.detection_fields”
将“imperva.abp.policy_id”映射到“security_result.detection_fields”。
将“imperva.abp.policy_name”映射到“security_result.detection_fields”。
将“imperva.abp.selector_derived_id”映射到“security_result.detection_fields”。
将“imperva.abp.monitor_action”映射到“security_result.action”。

2022-06-28

增强功能 -
为所有日志映射了 vendor.name = Imperva 和 product.name = Web 应用防火墙
将“src”为“Distributed”的“metadata.event_type”从“GENERIC_EVENT”更改为“USER_UNCATEGORIZED”
将“metadata.event_type”从“USER_UNCATEGORIZED”更改为“USER_STATS”

2022-06-20

修改了字段“rt”的 Grok 模式。
bug 修复 - 改进了 security_result.action。
REQ_PASSED：如果请求已路由到网站的 Web 服务器（security_result.action = 'ALLOW'）。
REQ_CACHED_X：如果从数据中心的缓存返回了响应（security_result.action = 'ALLOW'）。
REQ_BAD_X：如果发生协议或网络错误（security_result.action = 'FAIL'）。
REQ_CHALLENGE_X：如果向客户端返回了质询 (security_result.action = 'BLOCK')。
REQ_BLOCKED_X：如果请求被屏蔽（security_result.action = 'BLOCK'）。

2022-06-14

bug 修复 - 添加了 gsub 并修改了 kv 过滤器，以避免将字段“cs1Label”“cs2Label”“cs3Label”映射到 UDM 字段“security_result.detection_fields”时出现错误的映射。

2022-05-26

bug 修复 - 从检测字段的值中移除了键名称和英文冒号字符。

2022-05-10

改进 - 映射了以下字段：
将“cs1”“cs2”“cs3”“cs4”“cs5”“fileType”“filePermission”移到了“security_result.detection_fields”。
'cs7' 更改为 'principal.location.region_latitude'。
'cs8' 更改为 'principal.location.region_longitude'。
将“cn1”“cn2”转换为“security_result.detection_fields”，适用于 CEF 格式日志。
对于 CEF 格式日志，将“act”更改为“security_result.action”和“security_result.action_details”。
将 CEF 格式日志中的“app”更改为“network.application_protocol”。
将“requestClientApplication”更改为“network.http.user_agent”，以便生成 CEF 格式日志。
将 CEF 格式日志中的“dvc”更改为“about.ip”。