收集 Salesforce 日志

支持的平台:

概览

此解析器可处理 LEEF、CSV 和 JSON 格式的 Salesforce 日志。它会提取字段、执行格式专用处理(处理 LEEF 键值对、CSV 列和 JSON 结构),将其映射到 UDM,并使用元数据和派生字段丰富数据。该解析器还会处理各种 Salesforce 事件类型,为登录、退出登录和其他操作应用特定逻辑、对事件进行分类以及设置适当的 UDM 事件类型。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 AWS IAM、S3 和 AppFlow 的超级用户访问权限。

配置 Amazon S3 存储分区

  1. 按照以下用户指南创建 Amazon S3 存储分区创建存储分区
  2. 保存存储分区的名称区域,以备日后参考。
  3. 按照以下用户指南创建用户创建 IAM 用户
  4. 选择创建的用户
  5. 选择安全凭据标签页。
  6. 点击访问密钥部分中的创建访问密钥
  7. 选择第三方服务作为用例
  8. 点击下一步
  9. 可选:添加说明标记。
  10. 点击创建访问密钥
  11. 点击下载 .csv 文件。(请保存访问密钥私有访问密钥,以备日后参考)。
  12. 点击完成
  13. 选择权限标签页。
  14. 权限政策部分中,点击添加权限
  15. 选择添加权限
  16. 选择直接附加政策
  17. 搜索 AmazonS3FullAccess 政策。
  18. 选择相应政策。
  19. 点击下一步
  20. 点击添加权限

配置 Amazon AppFlow

  1. 创建 Amazon AppFlow 流程:
    • 流程名称:添加流程名称,然后点击下一步
    • 数据源:选择 Salesforce 作为数据源。
    • 创建新连接。
    • 系统随即会显示 Salesforce 登录窗口。使用您的 Salesforce 凭据登录。
    • 选择对象名称(选择要从 Salesforce 传输到 S3 存储分区的数据)。
    • 选择 Amazon S3 作为数据目标位置。
    • 选择安排作为数据流触发器。
    • 选择来源字段中,您可以直接映射所有字段,也可以指定要映射的字段。
  2. 验证配置:
    • 在 Amazon AppFlow 中,选择您创建的流程,然后点击运行流程以从 Salesforce 提取数据。
    • 日志现在应该位于您的 S3 存储分区中。

在 Google SecOps 中配置 Feed 以提取 Salesforce 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Salesforce 日志)。
  4. 选择 Amazon S3 作为来源类型
  5. 选择 Salesforce 作为日志类型
  6. 点击下一步
  7. 为以下输入参数指定值:

    • 区域:Amazon S3 存储分区所在的区域。
    • S3 URI:存储分区 URI。s3:/BUCKET_NAME 替换以下内容:
      • BUCKET_NAME:存储分区的名称。
    • URI 是:根据 S3 数据流配置选择 URI 类型:Single file | Directory | Directory which includes subdirectories
    • 来源删除选项:根据您的偏好选择删除选项。
    • 访问密钥 ID:有权访问 S3 存储分区的用户访问密钥。
    • 私有访问密钥:有权访问 S3 存储分区的用户私钥。
    • 资源命名空间资源命名空间
    • 提取标签:要应用于此 Feed 中的事件的标签。
  8. 点击下一步

  9. 最终确定界面中查看新的 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
Account.Name target.resource.name 原始日志中的 Account.Name 值。
AccountId target.resource.id 原始日志中的 AccountId 值。
Action security_result.description 原始日志中的 Action 值。
AdditionalInfo - 未映射到 IDM 对象。
ApiType target.application 原始日志中的 ApiType 值。
ApiVersion - 未映射到 IDM 对象。
Application principal.application 原始日志中的 Application 的值,或者“Browser”(LoginAsEvent),或者“Integration JWT Token”(LoginEvent),或者“SfdcSiqActivityPlatform”(对象类型为 LoginHistory 的 LoginHistory),或者“N/A”(ApiEvent),或者“Browser”(LoginAsEventStream)。
attributes.url target.url 原始日志中的 attributes.url 值,或原始日志中各种事件类型的具体网址。
attributes.type metadata.product_event_type 原始日志中的 attributes.type 值。
AuthSessionId network.session_id 原始日志中的 AuthSessionId 值。
Browser principal.resource.name 原始日志中的 Browser 的值;如果原始日志中不提供 BrowserApplication 为“Insights”,则为“Unknown”;如果是 LoginHistory,则为“Java (Salesforce.com)”,其中 ApiType 为“SOAP Partner”;如果是 LoginHistory,则为“Unknown”,其中 Application 为“SfdcSiqActivityPlatform”;如果是 LoginAsEventStream,则为 data.properties.Browser.str 中的值。
Case.Subject target.resource.name 原始日志中的 Case.Subject 值。
CaseId target.resource.id 原始日志中的 CaseId 值。
cat metadata.product_event_type 原始日志中的 cat 值。
City principal.location.city 原始日志中的 City 值,或 LoginHistory 的 LoginGeo.City 中的值。
Client principal.labels 原始日志中的 Client 值,采用标签格式。
CLIENT_IP principal.ipprincipal.asset.ip 原始日志中的 CLIENT_IP 值。
ClientVersion - 未映射到 IDM 对象。
CipherSuite network.tls.cipher 原始日志中的 CipherSuite 值。
ColumnHeaders principal.labels 原始日志中的 ColumnHeaders 值,采用标签格式。
ConnectedAppId principal.labels 原始日志中的 ConnectedAppId 值,采用标签格式。
Contact.Name target.resource.name 原始日志中的 Contact.Name 值。
ContactId target.resource.id 原始日志中的 ContactId 值。
Country principal.location.country_or_region 原始日志中的 Country 的值,对于 LoginHistory,则为 LoginGeo.Country
CreatedByContext principal.user.userid 原始日志中的 CreatedByContext 值。
CreatedById principal.resource.attribute.labels 原始日志中的 CreatedById 值,采用标签格式。
CreatedDate metadata.collected_timestamp 原始日志中的 CreatedDate 的值,如果未提供,则为当前时间戳。
CPU_TIME target.resource.attribute.labels 原始日志中的 CPU_TIME 值,采用标签格式。
data - 包含单独提取和映射的各种字段。
DATASET_IDS target.resource.name 原始日志中的 DATASET_IDS 值。
DelegatedOrganizationId target.administrative_domain 原始日志中的 DelegatedOrganizationId 值。
DelegatedUsername observer.user.userid 原始日志中的 DelegatedUsername 值。
Description metadata.description 原始日志中的 Description 值。
DevicePlatform principal.resource.type 原始日志中的 DevicePlatform 值,系统会对其进行解析以提取资源类型。
Display metadata.description 原始日志中的 Display 值。
DOWNLOAD_FORMAT target.resource.attribute.labels 原始日志中的 DOWNLOAD_FORMAT 值,采用标签格式。
Duration target.resource.attribute.labels 原始日志中的 Duration 值,采用标签格式。
ENTITY_NAME target.resource.attribute.labels 原始日志中的 ENTITY_NAME 值,采用标签格式。
ErrorCode security_result.action 原始日志中的 ErrorCode 值,转换为“允许”或“屏蔽”。
EventDate timestamp 原始日志中的 EventDate 的值,或 data.properties.TIMESTAMP_DERIVED.str(如果有)、data.properties.TIMESTAMP_DERIVED_FIRST.str(如果有)、@timestamp(如果有)、created_date(如果有)、timestamp(如果有),对于 LoginHistory,则为 LoginTime
EventIdentifier metadata.product_log_id 原始日志中的 EventIdentifier 值。
EventType metadata.product_event_type 原始日志中的 EventType 值。
Id principal.user.userid 原始日志中的 Id 值,对于 SetupAuditTrail 和其他事件,则为 metadata.product_log_id
IdentityUsed principal.user.email_addresses 原始日志中的 IdentityUsed 值。
Lead.Name target.resource.name 原始日志中的 Lead.Name 值。
LeadId target.resource.id 原始日志中的 LeadId 值。
LoginAsCategory - 未映射到 IDM 对象。
LoginGeo.Country principal.location.country_or_region 原始日志中的 LoginGeo.Country 值。
LoginHistoryId - 未映射到 IDM 对象。
LoginKey principal.user.useridnetwork.session_id 原始日志中的 LoginKey 的值,或 SetupAuditTrail 的 CreatedByContext
LoginTime timestamp 原始日志中的 LoginTime 值。
LoginType security_result.description 原始日志中的 LoginType 的值;如果是 LoginHistory,则为“其他 Apex API”(将 ApiType 设为“SOAP 合作伙伴”);如果是 LoginHistory,则为“远程访问 2.0”(将 Application 设为“SfdcSiqActivityPlatform”)。
LoginUrl target.urlprincipal.url 原始日志中的 LoginUrl 值。
LogFile principal.resource.attribute.labels 原始日志中的 LogFile 值,采用标签格式。
LogFileContentType principal.resource.attribute.labels 原始日志中的 LogFileContentType 值,采用标签格式。
LogFileLength principal.resource.attribute.labels 原始日志中的 LogFileLength 值,采用标签格式。
Message - 未映射到 IDM 对象。
METHOD network.http.method 原始日志中的 METHOD 值。
Name target.application 原始日志中的 Name 值。
NewValue - OldValue 结合使用以生成 security_result.summary
NUMBER_FIELDS target.resource.attribute.labels 原始日志中的 NUMBER_FIELDS 值,采用标签格式。
OldValue - NewValue 结合使用以生成 security_result.summary
Operation security_result.descriptiontarget.resource.attribute.labels 原始日志中的 Operation 的值,或 SetupAuditTrail 的 Display
OperationStatus security_result.action 原始日志中的 OperationStatus 值,转换为“允许”或“屏蔽”。
ORGANIZATION_ID target.administrative_domain 原始日志中的 ORGANIZATION_ID 值。
OsName principal.platform 原始日志中的 OsName 值。
OsVersion principal.platform_version 原始日志中的 OsVersion 值。
Platform principal.platform 原始日志中的 Platform 的值,或 LightningUriEventStream 中的 data.properties.OsName.str 的值,或 LoginEventStream 中的 data.properties.OsName.str 的值。
QueriedEntities target.resource.nameprincipal.labels 原始日志中的 QueriedEntities 值,对于 UriEvent 和 ApiEvent,则为 component_name
Query target.process.command_lineprincipal.labels 原始日志中的 Query 值。
RecordId target.resource.id 原始日志中的 RecordId 值。
Records principal.labels 原始日志中的 Records 值,采用标签格式。
REQUEST_ID metadata.product_log_idtarget.resource.product_object_id 原始日志中的 REQUEST_ID 值。
REQUEST_SIZE network.sent_bytes 原始日志中的 REQUEST_SIZE 值。
REQUEST_STATUS security_result.summary 原始日志中的 REQUEST_STATUS 值。
RESPONSE_SIZE network.received_bytes 原始日志中的 RESPONSE_SIZE 值。
RowsProcessed target.resource.attribute.labels 原始日志中的 RowsProcessed 值,采用标签格式。
RUN_TIME target.resource.attribute.labels 原始日志中的 RUN_TIME 值,采用标签格式。
SamlEntityUrl - 未映射到 IDM 对象。
SdkAppType - 未映射到 IDM 对象。
SdkAppVersion - 未映射到 IDM 对象。
SdkVersion - 未映射到 IDM 对象。
Section security_result.summary 原始日志中的 Section 值。
SessionKey network.session_id 原始日志中的 SessionKey 值。
SessionLevel target.resource.attribute.labels 原始日志中的 SessionLevel 值,采用标签格式。
SourceIp principal.ipprincipal.asset.ip 原始日志中的 SourceIp 值。
src principal.ipprincipal.asset.ip 原始日志中的 src 值。
SsoType target.resource.attribute.labels 原始日志中的 SsoType 值,采用标签格式。
STATUS_CODE network.http.response_code 原始日志中的 STATUS_CODE 值。
Status security_result.actionsecurity_result.action_details 原始日志中的 Status 值,会转换为“允许”或“屏蔽”,或用作 LoginEventStream 的操作详情。
Subject target.resource.name 原始日志中的 Subject 值。
TargetUrl - 未映射到 IDM 对象。
TIMESTAMP metadata.collected_timestamp 原始日志中的 TIMESTAMP 值。
TIMESTAMP_DERIVED timestamp 原始日志中的 TIMESTAMP_DERIVED 值。
TlsProtocol network.tls.version_protocol 原始日志中的 TlsProtocol 值。
URI target.url 原始日志中的 URI 值。
USER_AGENT network.http.user_agent 原始日志中的 USER_AGENT 值。
USER_ID principal.user.userid 原始日志中的 USER_ID 值。
USER_ID_DERIVED principal.user.product_object_idtarget.resource.attribute.labels 原始日志中的 USER_ID_DERIVED 值。
UserId principal.user.userid 原始日志中的 UserId 值。
USER_TYPE target.resource.attribute.labels 原始日志中的 USER_TYPE 值,采用标签格式。
Username principal.user.useridprincipal.user.email_addressestarget.user.email_addresses 原始日志中的 Username 值,或各种事件的 src_email 值,或 IdentityProviderEventStore 的 IdentityUsed 值,或 Search 和 SearchAlert 的 data.properties.Email.str 值,或 LoginAsEventStream 和 LoginEventStream 的 data.properties.Username.str 值。
UserType target.resource.attribute.labels 原始日志中的 UserType 值,采用标签格式。
usrName principal.user.useridprincipal.user.email_addressestarget.user.email_addresses 原始日志中的 usrName 值。
VerificationMethod target.resource.attribute.labels 原始日志中的 VerificationMethod 值,采用标签格式。
解析器逻辑 metadata.event_type 根据 event_idoperation 字段派生,或将其设置为:对于 LoginEventStream,设置为“USER_LOGIN”;对于 Logout 和 LogoutEvent,设置为“USER_LOGOUT”;对于各种事件,设置为“USER_RESOURCE_UPDATE_CONTENT”;对于 PlatformEncryption,设置为“USER_RESOURCE_UPDATE_PERMISSIONS”;对于 QueuedExecution、ApexExecution、LightningInteraction、LightningPerformance、LightningPageView、URI、RestApi、API、AuraRequest、ApexCallout、OneCommerceUsage、Sites、MetadataApiOperation、OneCommerceUsage、VisualforceRequest、Dashboard、Search、ListViewEvent,设置为“RESOURCE_READ”;对于 UriEvent 和 TimeBasedWorkflow,将 Operation 设置为“Create”或“INSERT”,设置为“RESOURCE_CREATION”;对于 UriEvent 和 LightningUriEvent,将 Operation 设置为“Update”,设置为“RESOURCE_WRITTEN”;对于 UriEvent,将 Operation 设置为“Delete”或“ROLLBACK”,设置为“RESOURCE_DELETION”;对于 SetupAuditTrail 和 AuditTrail,设置为“USER_UNCATEGORIZED”;对于 SetupAuditTrail,将 operation 设置为“namedCredentialEncryptedFieldChange”,设置为“USER_CHANGE_PASSWORD”;对于 ApiEventStream 和 LightningUriEventStream,设置为“GENERIC_EVENT”,或根据网络和正文存在情况进行设置。
解析器逻辑 metadata.ingestion_labels 用于指明事件来源的标签,可以是“事件日志文件”“实时事件监控”或“SetupAuditTrail”。
解析器逻辑 metadata.log_type 始终设置为“SALESFORCE”。
解析器逻辑 metadata.product_name 始终设置为“SALESFORCE”。
解析器逻辑 metadata.vendor_name 始终设置为“SALESFORCE”。
解析器逻辑 metadata.url_back_to_product LoginUrlattributes.urldata.properties.PageUrl.strdata.properties.LoginUrl.str 等各种字段构建而成。
解析器逻辑 network.application_protocol 如果 uri 字段以“http”开头,请将其设置为“HTTPS”。
解析器逻辑 network.http.referral_url 如果 user_agent 字段包含“Referer=",则从该字段中提取。
解析器逻辑 network.http.response_code 派生自 request_status,用于各种事件。
解析器逻辑 network.http.user_agent 原始日志中的 user_agent 的值,或 ApiEventStream 和 LoginEventStream 的 data.properties.UserAgent.str 的值,或 Sites 事件中的值,或 Sites 事件中的“User-Agent”。
解析器逻辑 network.session_id 原始日志中的 session_keySESSION_KEY 的值,或通过其他字段(例如 LoginKeyAuthSessionId)构建的值。
解析器逻辑 network.tls.version 原始日志中的 tls_protocol 的值,对于 LoginEventStream,则为 data.properties.TlsProtocol.str 中的值。
解析器逻辑 principal.application 原始日志中的 application 的值,对于“登录:成功”事件,为“Salesforce for Outlook”;对于没有“应用”的“登录:成功”事件,为“数据分析”;对于 Lightning 事件,为从 device_platform 中提取的值。
解析器逻辑 principal.asset.hostname 如果 client_ip 是主机名,则为其值。
解析器逻辑 principal.asset.ip 如果是 IP 地址,则为 client_ipsrc_ipSourceIpCLIENT_IP 的值。
解析器逻辑 principal.hostname 如果 client_ip 是主机名,则为其值。
解析器逻辑 principal.ip 如果是 IP 地址,则为 client_ipsrc_ipSourceIpCLIENT_IP 的值。
解析器逻辑 principal.labels FederationIdentifierApiTypeOrgIdchannel 等各种字段构建的标签。
解析器逻辑 principal.location.city 原始日志中的 geoip_src.city_nameCityLoginGeo.City 的值。
解析器逻辑 principal.location.country_or_region 原始日志中的 geoip_src.country_nameCountryLoginGeo.Countryclient_geo 的值。
解析器逻辑 principal.location.region_latitude 原始日志中的 data.properties.LoginLatitude.number 值。
解析器逻辑 principal.location.region_longitude 原始日志中的 data.properties.LoginLongitude.number 值。
解析器逻辑 principal.location.state 原始日志中的 geoip_src.region_name 值。
解析器逻辑 principal.platform 原始日志中的 PlatformOsNameos_name 的值,对于 LoginEventStream,如果 Platform 包含“Windows”,则为“WINDOWS”。
解析器逻辑 principal.platform_version 原始日志中的 OsVersionos_version 的值,或从 Platform 中提取的 LoginEventStream 的值(其中 Platform 包含“Windows”)。
解析器逻辑 principal.resource.attribute.labels 由各种字段(例如 CreatedByIdApiVersionLogFileLogFileContentTypeLogFileLength)构建的标签。
解析器逻辑 principal.resource.name 原始日志中的 Browserbrowser_name 的值,或者 LoginHistory 的“Java (Salesforce.com)”,其中 ApiType 为“SOAP 合作伙伴”。
解析器逻辑 principal.resource.type 对于 Lightning 事件,从 device_platform 中提取;对于 LoginAsEvent 和 LoginAsEventStream,则为“浏览器”。
解析器逻辑 principal.url 原始日志中的 LoginUrl 值。
解析器逻辑 principal.user.email_addresses 原始日志中的 usrNameUsernamesrc_emailIdentityUseddata.properties.Username.strdata.properties.Email.str 的值。
解析器逻辑 principal.user.product_object_id 原始日志中的 attrs.USER_ID_DERIVEDdata.properties.USER_ID_DERIVED.str 的值。
解析器逻辑 principal.user.userid 原始日志中的 usrNameUsernameuser_idUserIdUSER_IDIdLoginKeyCreatedByContextdata.properties.Username.strdata.properties.USER_ID.strdata.properties.LoginKey.str 的值。
解析器逻辑 security_result.action 从原始日志中的 StatusOperationStatusErrorCodeactionoperation_status 派生而来,转换为“允许”或“屏蔽”。
解析器逻辑 security_result.action_details LoginEventStream 的原始日志中的 Status 值。
解析器逻辑 security_result.description 原始日志中的 LoginTypelogintypeOperationActionDisplay 的值。
解析器逻辑 security_result.rule_name 原始日志中的 Policyrule_name 的值。
解析器逻辑 security_result.summary 由原始日志中的 NewValueOldValueREQUEST_STATUSSectionforecastcategory 构建而成。
解析器逻辑 target.administrative_domain 原始日志中的 ORGANIZATION_IDDelegatedOrganizationIdorganization_iddata.properties.OrgName.str 的值。
解析器逻辑 target.application 原始日志中的 Applicationapp_nameApiTypeNamedata.properties.Application.str 的值。
解析器逻辑 target.asset.hostname uri 字段中提取的 target_hostname 的值。
解析器逻辑 target.asset.ip 原始日志中的 data.properties.CLIENT_IP.str 值。
解析器逻辑 target.asset_id device_idREQUEST_ID 构建而成。
解析器逻辑 target.file.mime_type 原始日志中的 file_type 值。
解析器逻辑 target.file.size 原始日志中的 size_bytes 值。
解析器逻辑 target.hostname uri 字段中提取的 target_hostname 的值。
解析器逻辑 target.process.command_line 原始日志中的 query_execQuerydata.properties.Query.str 的值。
解析器逻辑 target.process.pid 原始日志中的 job_id 值。
解析器逻辑 target.resource.attribute.labels 从各种字段构建的标签,例如 CPU_TIMERUN_TIMEUSER_TYPEDB_TOTAL_TIMEMEDIA_TYPEROWS_PROCESSEDNUMBER_FIELDSDB_BLOCKSDB_CPU_TIMEENTITY_NAMEEXCEPTION_MESSAGEUSER_ID_DERIVEDDOWNLOAD_FORMATUSER_TYPECPU_TIMERUN_TIMEWAVE_SESSION_IDSessionLevelverification_methodcpu_timerun_timedb_total_timedb_cpu_timeexec_timecallout_timenumber_soql_queriesdurationuser_typeentry_pointoperationsession_levelrows_processedsso_typedashboard_typeOperationSessionLevel
解析器逻辑 target.resource.id 原始日志中的 REQUEST_IDRecordIdcaseidleadidcontactidopportunityidaccountid 的值。
解析器逻辑 target.resource.name 原始日志中的 QueriedEntitiesresource_namecomponent_nameDATASET_IDSfieldStageNameSubject 的值。
解析器逻辑 target.resource.product_object_id 原始日志中的 REQUEST_ID 值。
解析器逻辑 target.resource.resource_type 对于 ApexCallout 和 PlatformEncryption,请将其设置为“ACCESS_POLICY”;对于 ApexTrigger,请将其设置为“DATABASE”;对于 ContentTransfer,请将其设置为“FILE”;对于 ApiEvent,请将其设置为“TABLE”。
解析器逻辑 target.resource.type 请根据是否存在相应的 ID 字段,将其设置为“BATCH”(对于 QueuedExecution 和 ApexExecution)、“FILE”(对于 ContentTransfer)、“DATABASE_TRIGGER”(对于 ApexTrigger),或“Case”“Lead”“Contact”“Opportunity”“Account”。
解析器逻辑 target.url 原始日志中的 LoginUrlURIattributes.urllogin_urluri 的值。
解析器逻辑 target.user.email_addresses 原始日志中的 Usernameattrs.usrNameemail_address 的值。
解析器逻辑 target.user.user_display_name 原始日志中的 target_user_display_nameuser_nameusername 的值。
解析器逻辑 target.user.userid 原始日志中的 target_user_namedata.properties.UserId.strdata.properties.CreatedById.str 的值。
解析器逻辑 extensions.auth.auth_details 如果 Status 不是“成功”,则设置为“有效”,否则设置为“UNKNOWN_AUTHENTICATION_STATUS”。
解析器逻辑 extensions.auth.mechanism 对于 logintype 包含“Remote”的“登录:成功”和“登录”事件,请将其设置为“REMOTE”;对于 LoginEventStream,请将其设置为“USERNAME_PASSWORD”;对于包含 login_url 的事件,请将其设置为“MECHANISM_OTHER”;对于“登录:成功”和“退出”事件,请将其设置为“AUTHTYPE_UNSPECIFIED”。
解析器逻辑 extensions.auth.type 对于登录、退出、LogoutEvent、LoginAs、IdentityProviderEventStore、LoginHistory、LoginAsEvent(LoginType 为“SAML Sfdc Initiated SSO”)设置为“SSO”,对于登录:成功、退出、LoginAsEvent(LoginType 为“Application”)设置为“AUTHTYPE_UNSPECIFIED”。

更改

2024-06-04

  • 添加了对新提取的日志的支持。

2024-03-06

  • 将“Id”字段的映射从“metadata.product_log_id”更改为“principal.user.userid”。
  • 将“CreatedById”字段的映射从“principal.user.userid”更改为“principal.resource.attribute.labels”。
  • 将“IsDeleted”映射到“principal.resource.attribute.labels”。
  • 将“LogFileLength”映射到“principal.resource.attribute.labels”。
  • 将“LogFileContentType”映射到“principal.resource.attribute.labels”。
  • 将“ApiVersion”映射到“principal.resource.attribute.labels”。
  • 将“LogFile”映射到“principal.resource.attribute.labels”。

2023-02-24

  • 增强功能-
  • 如果操作为“LOGIN_NO_ERROR”,则“security_result.action”会映射到 ALLOW,而不是 BLOCK。
  • 对于“登录”事件:
  • “action”已映射到“security_result.action”。
  • “target_user_name”已映射到“target.user.userid”。
  • “tls_protocol”已映射到“network.tls.version_protocol”。
  • “cipher_suite”已映射到“network.tls.cipher”。
  • 为“OsVersion”和“date”块添加了“on_error”检查。

2022-12-13

  • 增强功能-
  • 将“LoginType”映射到“security_result.description”。
  • 将“LoginUrl”映射到“principal.url”。
  • 添加了“ApiType”和“LoginGeo.City”的空值检查。

2022-09-02

  • 增强功能-
  • 将自定义解析器迁移到了默认解析器。

2022-07-04

  • 增强功能-
  • 增强了解析器,以解析 event_type 为“LoginHistory”的日志。
  • 添加了用于解析不同格式时间戳的条件。
  • 针对 event_type 为“USER_UNCATEGORIZED”且“user_id”“UserId”或“target_user_name”不为 null 的情况添加了条件。
  • 添加了用于解析 src_ip 的验证。

2022-04-18

  • 改进了 DOWNLOAD_FORMAT 的映射,将其从“metadata.ingestion_labels”改为“target.resource.attribute.labels”。

2022-03-30

  • 增强功能 - 将“LoginEventStream”的 event_type 更改为 USER_LOGIN。
  • 更正了 DOWNLOAD_FORMAT 和 ConnectedAppId 字段的映射。
  • 添加了在日志类型为 LoginEventStream、WaveDownload、ApiEventStream 时针对特定字段的映射。