Diese Seite wurde von der Cloud Translation API übersetzt.

ntopng-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Übersicht

Dieser Parser extrahiert ntopng-Netzwerküberwachungsprotokolle entweder im SYSLOG- oder JSON-Format. Er analysiert die Protokollnachricht, konvertiert die relevanten Felder in das UDM-Format und ergänzt das Ereignis um Metadaten wie Produkt- und Anbieternamen. Der Parser verarbeitet auch verschachtelte JSON-Strukturen und ordnet bestimmte ntopng-Felder UDM-Netzwerkereignissen zu, einschließlich Flusswarnungen und Nutzerzugriff auf Ressourcen.

Hinweise

Sie benötigen eine Google SecOps-Instanz.
Sie benötigen erhöhte Zugriffsrechte für ntopng.

Feed in Google SecOps für die Aufnahme der ntopng-Logs konfigurieren

Gehen Sie zu SIEM-Einstellungen > Feeds.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ntopng-Protokolle.
Wählen Sie als Quelltyp Webhook aus.
Wählen Sie Ntopng als Logtyp aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren und speichern Sie den geheimen Schlüssel. Sie können sich diesen geheimen Schlüssel nicht noch einmal ansehen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

Rufen Sie die Google Cloud Console > Anmeldedaten auf.

Zu den Anmeldedaten
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.
Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Ersetzen Sie Folgendes:
- ENDPOINT_URL: die URL des Feedendpunkts.
- API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google Security Operations authentifizieren.
- SECRET: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in ntopng für Google SecOps konfigurieren

Melden Sie sich in der Weboberfläche von ntopng an.
Wählen Sie im Drop-down-Menü die Option System aus.
Gehen Sie zu Benachrichtigungen > Endpunkte.
Klicken Sie auf Hinzufügen .
Geben Sie Werte für die folgenden Eingabeparameter an:
- Endpunktname: Geben Sie einen eindeutigen und beschreibenden Namen an, z. B. Google SecOps.
- Endpunkttyp: Wählen Sie in der Liste Webhook aus.
- Webhook-URL: Geben Sie die ENDPOINT_URL von Google SecOps mit API_KEY und SECRET ein.
Klicken Sie auf Hinzufügen.
Gehen Sie zu Benachrichtigungen > Empfänger.
Klicken Sie auf Hinzufügen .
Geben Sie Werte für die folgenden Eingabeparameter an:
- Name des Empfängers: Geben Sie einen eindeutigen und aussagekräftigen Namen an, z. B. Google SecOps.
- Endpunkt auswählen: Wählen Sie den zuvor erstellten Endpunkt aus.
- Schweregrad: Wählen Sie den Schweregrad aus, der an Google SecOps gesendet werden soll (z. B. Info, Warnung und Fehler).
- Kategoriefilter: Hier können Sie auswählen, was an Google SecOps gesendet werden soll.
Klicken Sie auf Empfänger testen, um die Verbindung zu prüfen.
Klicken Sie auf Hinzufügen, um den Webhook zu speichern.

Abonnenten von ntopng-Webhook-Ressourcen konfigurieren

Gehen Sie zu Pools.
Wählen Sie die Ressource aus, aus der Sie die Ereignisse teilen möchten.

Hinweis: Sie können für jede Ressource eine vorhandene Konfiguration bearbeiten (normalerweise Standard) oder eine neue erstellen.
Klicken Sie in der Spalte Aktionen auf das Stiftsymbol.
Klicken Sie auf das Drop-down-Menü Empfänger.
Wählen Sie den Webhook-Empfänger Google SecOps aus.

Hinweis :Heben Sie die Auswahl anderer Empfänger nicht auf.
Klicken Sie auf Bearbeiten, um die Konfiguration zu speichern.
Wiederholen Sie den Vorgang für andere Ressourcen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`action`	`security_result.detection_fields.key=action`, `security_result.detection_fields.value=%{action}`	Der Wert von `action` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „action“ zugeordnet.
`alert_generation.host_info.broadcast_domain_host`	`security_result.detection_fields.key=host_info broadcast_domain_host`, `security_result.detection_fields.value=%{alert_generation.host_info.broadcast_domain_host}`	Der Wert von `alert_generation.host_info.broadcast_domain_host` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info broadcast_domain_host“ zugeordnet.
`alert_generation.host_info.dhcpHost`	`security_result.detection_fields.key=host_info dhcpHost`, `security_result.detection_fields.value=%{alert_generation.host_info.dhcpHost}`	Der Wert von `alert_generation.host_info.dhcpHost` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info dhcpHost“ zugeordnet.
`alert_generation.host_info.is_blacklisted`	`security_result.detection_fields.key=host_info is_blacklisted`, `security_result.detection_fields.value=%{alert_generation.host_info.is_blacklisted}`	Der Wert von `alert_generation.host_info.is_blacklisted` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info is_blacklisted“ zugeordnet.
`alert_generation.host_info.is_broadcast`	`security_result.detection_fields.key=host_info is_broadcast`, `security_result.detection_fields.value=%{alert_generation.host_info.is_broadcast}`	Der Wert von `alert_generation.host_info.is_broadcast` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info is_broadcast“ zugeordnet.
`alert_generation.host_info.is_multicast`	`security_result.detection_fields.key=host_info is_multicast`, `security_result.detection_fields.value=%{alert_generation.host_info.is_multicast}`	Der Wert von `alert_generation.host_info.is_multicast` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info is_multicast“ zugeordnet.
`alert_generation.host_info.localhost`	`security_result.detection_fields.key=host_info localhost`, `security_result.detection_fields.value=%{alert_generation.host_info.localhost}`	Der Wert von `alert_generation.host_info.localhost` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info localhost“ zugeordnet.
`alert_generation.host_info.privatehost`	`security_result.detection_fields.key=host_info privatehost`, `security_result.detection_fields.value=%{alert_generation.host_info.privatehost}`	Der Wert von `alert_generation.host_info.privatehost` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info privatehost“ zugeordnet.
`alert_generation.host_info.systemhost`	`security_result.detection_fields.key=host_info systemhost`, `security_result.detection_fields.value=%{alert_generation.host_info.systemhost}`	Der Wert von `alert_generation.host_info.systemhost` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „host_info systemhost“ zugeordnet.
`alert_generation.script_key`	`security_result.category_details=%{alert_generation.script_key}`	Der Wert von `alert_generation.script_key` aus dem verschachtelten JSON-Objekt wird `security_result.category_details` zugeordnet.
`alert_generation.subdir`	`security_result.detection_fields.key=alert_generation_subdir`, `security_result.detection_fields.value=%{alert_generation.subdir}`	Der Wert von `alert_generation.subdir` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „alert_generation_subdir“ zugeordnet.
`alert_id`	`security_result.detection_fields.key=alert_id`, `security_result.detection_fields.value=%{alert_id}`	Der Wert von `alert_id` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „alert_id“ zugeordnet.
`alerts_map`	`security_result.detection_fields.key=alerts_map`, `security_result.detection_fields.value=%{alerts_map}`	Der Wert von `alerts_map` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „alerts_map“ zugeordnet.
`cli2srv_bytes`	`network.sent_bytes`	Der Wert von `cli2srv_bytes` aus dem Rohprotokoll wird in eine vorzeichenlose Ganzzahl konvertiert und `network.sent_bytes` zugeordnet.
`cli_asn`	`principal.resource.attribute.labels.key=cli_asn`, `principal.resource.attribute.labels.value=%{cli_asn}`	Der Wert von `cli_asn` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „cli_asn“ zugeordnet.
`cli_blacklisted`	`principal.resource.attribute.labels.key=cli_blacklisted`, `principal.resource.attribute.labels.value=%{cli_blacklisted}`	Der Wert von `cli_blacklisted` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „cli_blacklisted“ zugeordnet.
`cli_city_name`	`principal.location.city`	Der Wert von `cli_city_name` aus dem Rohprotokoll wird `principal.location.city` zugeordnet.
`cli_continent_name`	`principal.resource.attribute.labels.key=cli_continent_name`, `principal.resource.attribute.labels.value=%{cli_continent_name}`	Der Wert von `cli_continent_name` aus dem Rohprotokoll wird einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „cli_continent_name“ zugeordnet.
`cli_country_name`	`principal.location.country_or_region`	Der Wert von `cli_country_name` aus dem Rohprotokoll wird `principal.location.country_or_region` zugeordnet.
`cli_host_pool_id`	`principal.resource.attribute.labels.key=cli_host_pool_id`, `principal.resource.attribute.labels.value=%{cli_host_pool_id}`	Der Wert von `cli_host_pool_id` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „cli_host_pool_id“ zugeordnet.
`cli_ip`	`principal.ip`, `principal.asset.ip`	Der Wert `cli_ip` aus dem Rohprotokoll wird `principal.ip` und `principal.asset.ip` zugeordnet.
`cli_localhost`	`principal.resource.attribute.labels.key=cli_localhost`, `principal.resource.attribute.labels.value=%{cli_localhost}`	Der Wert von `cli_localhost` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „cli_localhost“ zugeordnet.
`cli_location`	`principal.location.name`	Der Wert von `cli_location` aus dem Rohprotokoll wird in einen String konvertiert. Wenn es nicht „0“ ist, wird es `principal.location.name` zugeordnet.
`cli_name`	`principal.hostname`, `principal.asset.hostname`	Der Wert `cli_name` aus dem Rohprotokoll wird `principal.hostname` und `principal.asset.hostname` zugeordnet.
`cli_network`	`principal.resource.attribute.labels.key=cli_network`, `principal.resource.attribute.labels.value=%{cli_network}`	Der Wert von `cli_network` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „cli_network“ zugeordnet.
`cli_port`	`principal.port`	Der Wert von `cli_port` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `principal.port` zugeordnet.
`entity_id`	`principal.resource.attribute.labels.key=entity_id`, `principal.resource.attribute.labels.value=%{entity_id}`	Der Wert von `entity_id` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „entity_id“ zugeordnet.
`entity_val`	`principal.resource.attribute.labels.key=entity_val`, `principal.resource.attribute.labels.value=%{entity_val}`	Der Wert von `entity_val` aus dem Rohprotokoll wird einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „entity_val“ zugeordnet, es sei denn, er entspricht dem Wert von `ip`.
`event.type`	`metadata.event_type`	Wird durch die Parserlogik basierend auf dem Vorhandensein der Felder `principal`, `target` und `network` bestimmt. Mögliche Werte: `NETWORK_FLOW`, `NETWORK_UNCATEGORIZED`, `USER_RESOURCE_ACCESS`, `GENERIC_EVENT`.
`first_seen`	`principal.asset.first_seen_time`	Der Wert von `first_seen` aus dem Rohprotokoll wird in einen String umgewandelt, als Millisekunden seit der Epoche geparst und `principal.asset.first_seen_time` zugeordnet.
`flow_risk_bitmap`	`security_result.detection_fields.key=flow_risk_bitmap`, `security_result.detection_fields.value=%{flow_risk_bitmap}`	Der Wert von `flow_risk_bitmap` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „flow_risk_bitmap“ zugeordnet.
`granularity`	`security_result.detection_fields.key=granularity`, `security_result.detection_fields.value=%{granularity}`	Der Wert von `granularity` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „granularity“ zugeordnet.
`hash_entry_id`	`security_result.detection_fields.key=hash_entry_id`, `security_result.detection_fields.value=%{hash_entry_id}`	Der Wert von `hash_entry_id` aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „hash_entry_id“ zugeordnet.
`host_ip`	`principal.ip`, `principal.asset.ip`	Die aus dem `<INT>Oct 20 15:34:53 1.1.1.1`-Teil der Nachricht extrahierte IP-Adresse wird `principal.ip` und `principal.asset.ip` zugeordnet.
`ifid`	`principal.asset_id`	Der Wert von `ifid` aus dem Rohprotokoll wird in einen String konvertiert und mit dem Präfix „ifid: " zu `principal.asset_id` zugeordnet.
`ip`	`principal.ip`, `principal.asset.ip` oder `target.ip`, `target.asset.ip`	Wenn `is_client` wahr ist, wird der Wert von `ip` aus dem Rohprotokoll auf `principal.ip` und `principal.asset.ip` zugeordnet. Wenn `is_server` „wahr“ ist, wird es `target.ip` und `target.asset.ip` zugeordnet.
`is_cli_attacker`	`security_result.detection_fields.key=is_cli_attacker`, `security_result.detection_fields.value=%{is_cli_attacker}`	Der Wert von `is_cli_attacker` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „is_cli_attacker“ zugeordnet.
`is_cli_victim`	`security_result.detection_fields.key=is_cli_victim`, `security_result.detection_fields.value=%{is_cli_victim}`	Der Wert von `is_cli_victim` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „is_cli_victim“ zugeordnet.
`is_flow_alert`	`security_result.detection_fields.key=is_flow_alert`, `security_result.detection_fields.value=%{is_flow_alert}`, `security_result.detection_fields.key=alert type`, `security_result.detection_fields.value=flow`	Der Wert von `is_flow_alert` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „is_flow_alert“ zugeordnet. Wenn `is_flow_alert` wahr ist, wird auch ein `security_result.detection_fields`-Objekt mit dem Schlüssel „alert type“ und dem Wert „flow“ erstellt.
`is_srv_attacker`	`security_result.detection_fields.key=is_srv_attacker`, `security_result.detection_fields.value=%{is_srv_attacker}`	Der Wert von `is_srv_attacker` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „is_srv_attacker“ zugeordnet.
`is_srv_victim`	`security_result.detection_fields.key=is_srv_victim`, `security_result.detection_fields.value=%{is_srv_victim}`	Der Wert von `is_srv_victim` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „is_srv_victim“ zugeordnet.
`metadata.product_name`	`metadata.product_name=NTOPNG`	Hartcodiert auf „NTOPNG“.
`metadata.vendor_name`	`metadata.vendor_name=%{vendor_name}`	Der Wert von `vendor_name` aus der Nachricht wird `metadata.vendor_name` zugeordnet.
`name`	`principal.hostname`, `principal.asset.hostname` oder `target.hostname`, `target.asset.hostname`	Wenn `is_client` wahr ist, wird der Wert von `name` aus dem Rohprotokoll auf `principal.hostname` und `principal.asset.hostname` zugeordnet. Wenn `is_server` „wahr“ ist, wird es `target.hostname` und `target.asset.hostname` zugeordnet.
`ntopng_key`	`security_result.detection_fields.key=ntopng_key`, `security_result.detection_fields.value=%{ntopng_key}`	Der Wert von `ntopng.key` (umbenannt in `ntopng_key`) aus dem verschachtelten JSON-Objekt wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „ntopng_key“ zugeordnet.
`observation_point_id`	`observer.asset_id`	Der Wert von `observation_point_id` aus dem Rohprotokoll wird in einen String konvertiert. Wenn der Wert nicht „0“ ist, wird er mit dem Präfix „id: " auf `observer.asset_id` zugeordnet.
`pool_id`	`principal.resource.attribute.labels.key=pool_id`, `principal.resource.attribute.labels.value=%{pool_id}`	Der Wert von `pool_id` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „pool_id“ zugeordnet.
`probe_ip`	`intermediary.ip`	Der Wert von `probe_ip` aus dem Rohprotokoll wird `intermediary.ip` zugeordnet.
`proto.confidence`	`security_result.confidence_details`	Der Wert von `proto.confidence` aus dem Rohprotokoll wird in einen String konvertiert und `security_result.confidence_details` zugeordnet.
`proto.http.last_method`	`network.http.method`	Der Wert von `proto.http.last_method` aus dem Rohprotokoll wird `network.http.method` zugeordnet.
`proto.http.last_return_code`	`network.http.response_code`	Der Wert von `proto.http.last_return_code` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `network.http.response_code` zugeordnet.
`proto.http.last_server_name`	`network.tls.client.server_name`	Der Wert von `proto.http.server_name` aus dem Rohprotokoll wird `network.tls.client.server_name` zugeordnet.
`proto.http.last_url`	`network.http.referral_url`	Der Wert von `proto.http.last_url` aus dem Rohprotokoll wird `network.http.referral_url` zugeordnet.
`proto.http.last_user_agent`	`network.http.user_agent`	Der Wert von `proto.http.last_user_agent` aus dem Rohprotokoll wird `network.http.user_agent` zugeordnet.
`proto.http.server_name`	`network.tls.client.server_name`	Der Wert von `proto.http.server_name` aus dem Rohprotokoll wird `network.tls.client.server_name` zugeordnet.
`proto.l4`	`network.ip_protocol`	Der Wert von `proto.l4` aus dem Rohprotokoll wird `network.ip_protocol` zugeordnet.
`proto_ndpi`	`additional.fields.key=proto ndpi`, `additional.fields.value.string_value=%{proto_ndpi}`, `network.application_protocol`	Der Wert von `proto.ndpi` (in `proto_ndpi` umbenannt) aus dem Rohprotokoll wird einem `additional.fields`-Objekt mit dem Schlüssel „proto ndpi“ zugeordnet. Außerdem wird der Wert von `network.application_protocol` anhand von Keywords wie „NTP“ und „HTTP“ bestimmt.
`proto_ndpi_app`	`principal.application`	Der Wert von `proto_ndpi_app` aus dem Rohprotokoll wird `principal.application` zugeordnet.
`proto_ndpi_breed`	`security_result.detection_fields.key=proto_ndpi_breed`, `security_result.detection_fields.value=%{proto_ndpi_breed}`	Der Wert von `proto_ndpi_breed` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „proto_ndpi_breed“ zugeordnet.
`proto_ndpi_cat`	`security_result.category_details`	Der Wert von `proto_ndpi_cat` aus dem Rohprotokoll wird `security_result.category_details` zugeordnet.
`proto_ndpi_cat_id`	`security_result.detection_fields.key=proto_ndpi_cat_id`, `security_result.detection_fields.value=%{proto_ndpi_cat_id}`	Der Wert von `proto_ndpi_cat_id` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „proto_ndpi_cat_id“ zugeordnet.
`score`	`security_result.detection_fields.key=score`, `security_result.detection_fields.value=%{score}`	Der Wert von `score` aus dem Rohprotokoll wird in einen String konvertiert und einem `security_result.detection_fields`-Objekt mit dem Schlüssel „score“ zugeordnet.
`srv2cli_bytes`	`network.received_bytes`	Der Wert von `srv2cli_bytes` aus dem Rohprotokoll wird in eine vorzeichenlose Ganzzahl konvertiert und `network.received_bytes` zugeordnet.
`srv_asn`	`target.resource.attribute.labels.key=srv_asn`, `target.resource.attribute.labels.value=%{srv_asn}`	Der Wert von `srv_asn` aus dem Rohprotokoll wird in einen String konvertiert und einem `target.resource.attribute.labels`-Objekt mit dem Schlüssel „srv_asn“ zugeordnet.
`srv_blacklisted`	`target.resource.attribute.labels.key=srv_blacklisted`, `target.resource.attribute.labels.value=%{srv_blacklisted}`	Der Wert von `srv_blacklisted` aus dem Rohprotokoll wird in einen String konvertiert und einem `target.resource.attribute.labels`-Objekt mit dem Schlüssel „srv_blacklisted“ zugeordnet.
`srv_city_name`	`target.location.city`	Der Wert von `srv_city_name` aus dem Rohprotokoll wird `target.location.city` zugeordnet.
`srv_continent_name`	`target.resource.attribute.labels.key=srv_continent_name`, `target.resource.attribute.labels.value=%{srv_continent_name}`	Der Wert von `srv_continent_name` aus dem Rohprotokoll wird einem `target.resource.attribute.labels`-Objekt mit dem Schlüssel „srv_continent_name“ zugeordnet.
`srv_country_name`	`target.location.country_or_region`	Der Wert von `srv_country_name` aus dem Rohprotokoll wird `target.location.country_or_region` zugeordnet.
`srv_host_pool_id`	`target.resource.attribute.labels.key=srv_host_pool_id`, `target.resource.attribute.labels.value=%{srv_host_pool_id}`	Der Wert von `srv_host_pool_id` aus dem Rohprotokoll wird in einen String konvertiert und einem `target.resource.attribute.labels`-Objekt mit dem Schlüssel „srv_host_pool_id“ zugeordnet.
`srv_ip`	`target.ip`, `target.asset.ip`	Der Wert `srv_ip` aus dem Rohprotokoll wird `target.ip` und `target.asset.ip` zugeordnet.
`srv_localhost`	`target.resource.attribute.labels.key=srv_localhost`, `target.resource.attribute.labels.value=%{srv_localhost}`	Der Wert von `srv_localhost` aus dem Rohprotokoll wird in einen String konvertiert und einem `target.resource.attribute.labels`-Objekt mit dem Schlüssel „srv_localhost“ zugeordnet.
`srv_location`	`target.location.name`	Der Wert von `srv_location` aus dem Rohprotokoll wird in einen String konvertiert. Wenn es nicht „0“ ist, wird es `target.location.name` zugeordnet.
`srv_location_lat`	`target.location.region_coordinates.latitude`	Der Wert von `srv_location_lat` aus dem Rohprotokoll wird `target.location.region_coordinates.latitude` zugeordnet.
`srv_location_lon`	`target.location.region_coordinates.longitude`	Der Wert von `srv_location_lon` aus dem Rohprotokoll wird `target.location.region_coordinates.longitude` zugeordnet.
`srv_name`	`target.hostname`, `target.asset.hostname`	Der Wert von `srv_name` aus dem Rohprotokoll wird `target.hostname` und `target.asset.hostname` zugeordnet.
`srv_network`	`target.resource.attribute.labels.key=srv_network`, `target.resource.attribute.labels.value=%{srv_network}`	Der Wert von `srv_network` aus dem Rohprotokoll wird in einen String konvertiert und einem `target.resource.attribute.labels`-Objekt mit dem Schlüssel „srv_network“ zugeordnet.
`srv_port`	`target.port`	Der Wert von `srv_port` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `target.port` zugeordnet.
`tstamp`	`additional.fields.key=tstamp`, `additional.fields.value.string_value=%{tstamp}`	Der Wert von `tstamp` aus dem Rohprotokoll wird in einen String konvertiert und einem `additional.fields`-Objekt mit dem Schlüssel „tstamp“ zugeordnet.
`vlan_id`	`principal.resource.attribute.labels.key=vlan_id`, `principal.resource.attribute.labels.value=%{vlan_id}`	Der Wert von `vlan_id` aus dem Rohprotokoll wird in einen String konvertiert und einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „vlan_id“ zugeordnet.
`when`	`metadata.event_timestamp`	Der Wert von `when` aus dem Rohprotokoll wird als Zeitstempel geparst und `metadata.event_timestamp` zugeordnet.

Änderungen

2024-02-01

Fehlerkorrektur:
Im Kopfkommentar der conf-Datei wurde „=>" in „:" geändert.

2023-11-16

Neu erstellter Parser.