Mengumpulkan log CIM Splunk
Dokumen ini menjelaskan cara mengumpulkan log Common Information Model (CIM) Splunk dengan mengonfigurasi Splunk dan forwarder Google Security Operations. Dokumen ini juga mencantumkan jenis log yang didukung dan versi Splunk yang didukung.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Ringkasan
Diagram arsitektur deployment berikut menunjukkan cara agen Splunk dikonfigurasi untuk mengirim log ke Google Security Operations. Setiap deployment pelanggan mungkin berbeda dari representasi ini dan mungkin lebih kompleks.
Diagram arsitektur menampilkan komponen berikut:
Sumber data: Sistem yang akan dipantau tempat Splunk diinstal.
Splunk: Mengumpulkan informasi dari sumber data dan meneruskan informasi tersebut ke penerusan Google Security Operations.
Pengirim Google Security Operations: Komponen software ringan, yang di-deploy di jaringan pelanggan untuk meneruskan log ke Google Security Operations.
Google Security Operations: Mempertahankan dan menganalisis log dari server Fleet.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer SPLUNK.
Sebelum memulai
Gunakan Splunk versi 5.0 yang didukung parser Google Security Operations.
Pastikan semua sistem dalam arsitektur deployment dikonfigurasi di zona waktu UTC.
Mengonfigurasi agen Splunk dan penerusan Google Security Operations
Instal agen yang mematuhi CIM dari Splunkbase.
Konfigurasikan penerusan Google Security Operations untuk mengirim log ke sistem Google Security Operations. Berikut adalah contoh konfigurasi forwarder Google Security Operations:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Pertimbangan untuk menulis kueri penelusuran Splunk
Splunk memiliki bahasa penelusurannya sendiri, yang mirip dengan SQL. Pastikan Anda menggunakan sintaksis yang benar untuk kueri penelusuran. Pertimbangkan karakteristik penelusuran berikut saat Anda membuat kueri:
Karakter escape
Jika nilai string berisi tanda kutip ganda ", gunakan karakter garis miring terbalik untuk meng-escape tanda kutip. Jika tidak, penelusuran akan salah menafsirkan akhir nilai string.
Misalnya: Untuk menelusuri string WHERE _raw="The user "vpatel" isn't authenticated.",
Anda harus menggunakan urutan \" untuk menelusuri tanda petik ganda literal.
Tulis string penelusuran dalam format berikut:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Untuk meng-escape karakter garis miring terbalik \ , gunakan urutan \\ untuk menelusuri garis miring terbalik.
Misalnya, jika ada string seperti C:\user\abc, string ini harus ditulis sebagai C:\\user\\abc.
Penelusuran yang salah secara sintaksis
Jika bagian kueri tidak valid, seluruh kueri tidak akan dievaluasi dan pesan error akan muncul.
Pertimbangkan contoh berikut yang opsi mode penelusurannya tidak ada dalam kueri:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
Dalam contoh ini, opsi mode penelusuran tidak ada dalam kueri. Hal ini akan menghasilkan error berikut:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Dukungan untuk beberapa model data
Splunk mendukung satu kueri besar yang mencakup model data. Kueri penelusuran berikut mengekstrak data dari beberapa model data:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Berikut adalah komponen kueri ini yang mencakup model data:
Multisearch: Kueri harus diawali dengan kata multisearch. Kueri untuk model data harus diapit dalam tanda kurung siku [ ] dan diawali dengan karakter pipa |.
Network_Traffic: Nama model data.
All_Traffic: Set data model data Network_Traffic.
flat: Mode penelusuran. Opsi lainnya adalah search dan acceleration_search.
Sebaiknya gunakan kueri Splunk berikut untuk penelusuran beberapa model data:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Jenis log dan model data yang didukung
| Model data Splunk | Didukung |
|---|---|
| Notifikasi | Ya |
| Status Aplikasi (tidak digunakan lagi) | Tidak |
| Authentication | Ya |
| Sertifikat | Ya |
| Ubah | Ya |
| Analisis Perubahan (tidak digunakan lagi) | Tidak |
| Akses Data | Ya |
| Database | Ya |
| Pencegahan Kebocoran Data | Ya |
| Ya | |
| Endpoint | Ya |
| Tanda Tangan Peristiwa | Ya |
| Pesan Antarproses | Ya |
| Intrusion Detection | Ya |
| Inventaris | Ya |
| Java Virtual Machine (JVM) | Ya |
| Malware | Ya |
| Resolusi Jaringan (DNS) | Ya |
| Sesi Jaringan | Ya |
| Traffic Jaringan | Ya |
| Performa | Ya |
| Log Audit Splunk | Ya |
| Pengelolaan Tiket | Ya |
| Update | Ya |
| Vulnerabilities | Ya |
| Web | Ya |
Referensi pemetaan kolom
Bagian ini menjelaskan cara parser Google Security Operations memetakan kolom log Splunk ke kolom Unified Data Model (UDM) Google Security Operations untuk set data. Untuk informasi selengkapnya, lihat dokumen Splunk untuk versi 5.0.1.
Notifikasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Pemberitahuan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| aplikasi | observer.application |
| deskripsi | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| tingkat keseriusan, | security_result.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_type | principal.resource.resource_type |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jenis | security_result.alert_state |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_region | about.location.country_or_region |
Autentikasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Autentikasi set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| aplikasi | target.application |
| authentication_method | about.labels.key/value (tidak digunakan lagi) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_nt_domain | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| alasan | security_result.summary |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_nt_domain | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_role | principal.user.attribute.roles.name (diulang) |
| src_user_type | principal.user.attribute.roles.type |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (diulang) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Certificates
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Certificates:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| transportasi | network.ip_protocol |
SSL
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk SSL set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_hash | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_is_valid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_email | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_locality | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_organization | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_street | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_issuer_unit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_policies | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_publickey | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_email | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_locality | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_organization | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_street | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_subject_unit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_validity_window | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Changes:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| perintah | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| objek | target.resource.name |
| object_attrs | about.labels.key/value (tidak digunakan lagi) additional.fields |
| object_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| hasil | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Account_Management:
| Kolom log | Pemetaan UDM |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_name | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Instance_Changes:
| Kolom log | Pemetaan UDM |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
network_Changes
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk network_Changes:
| Kolom log | Pemetaan UDM |
|---|---|
| dest_ip_range | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_port_range | target.labels.key/value (tidak digunakan lagi) additional.fields |
| direction | network.direction |
| protokol | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_port_range | principal.labels.key/value (tidak digunakan lagi) additional.fields |
Data_Access
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Data_Access:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| aplikasi | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| objek | target.resource.name |
| object_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| owner | about.labels.key/value (tidak digunakan lagi) additional.fields |
| owner_email | about.labels.key/value (tidak digunakan lagi) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent_object_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| tenant_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (diulang) |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Databases
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Databases:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| objek | target.resource.name |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Database_Instance
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Database_Instance:
| Kolom log | Pemetaan UDM |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| session_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
Database_Query
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Database_Query:
| Kolom log | Pemetaan UDM |
|---|---|
| query | about.labels.key/value (tidak digunakan lagi) additional.fields |
| query_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| query_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| records_affected | about.labels.key/value (tidak digunakan lagi) additional.fields |
Instance_Stats
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Instance_Stats:
| Kolom log | Pemetaan UDM |
|---|---|
| availability | about.labels.key/value (tidak digunakan lagi) additional.fields |
| avg_executions | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dump_area_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| instance_reads | about.labels.key/value (tidak digunakan lagi) additional.fields |
| instance_writes | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jumlah_pengguna | about.labels.key/value (tidak digunakan lagi) additional.fields |
| proses | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sesi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_fixed_area_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_free_memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_library_cache_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_shared_pool_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sga_sql_area_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| start_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tablespace_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
Session_Info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Session_Info:
| Kolom log | Pemetaan UDM |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (tidak digunakan lagi) additional.fields |
| commit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cursor | about.labels.key/value (tidak digunakan lagi) additional.fields |
| elapsed_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logical_reads | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mesin | about.hostname |
| memory_sorts | about.labels.key/value (tidak digunakan lagi) additional.fields |
| physical_reads | about.labels.key/value (tidak digunakan lagi) additional.fields |
| seconds_in_wait | about.labels.key/value (tidak digunakan lagi) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| table_scans | about.labels.key/value (tidak digunakan lagi) additional.fields |
| wait_state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| wait_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
Lock_Info
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Lock_Info:
| Kolom log | Pemetaan UDM |
|---|---|
| last_call_minute | about.labels.key/value (tidak digunakan lagi) additional.fields |
| lock_mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| lock_session_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| logon_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| obj_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Tablespace
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Tablespace set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tablespace_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tablespace_writes | about.labels.key/value (tidak digunakan lagi) additional.fields |
Query_Stats
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Query_Stats:
| Kolom log | Pemetaan UDM |
|---|---|
| indexes_hit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| query_plan_hit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| stored_procedures_called | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tables_hit | about.labels.key/value (tidak digunakan lagi) additional.fields |
DLP_Incidents
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk DLP_Incidents:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| aplikasi | target.application |
| kategori | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_priority | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| objek | target.resource.name |
| object_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| object_path | target.file.full_path |
| tingkat keseriusan, | security_result.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_zone | principal.location.country_or_origin |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Email
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Email:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| penundaan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (tidak digunakan lagi) additional.fields |
| orig_dest | target.labels.key/value (tidak digunakan lagi) additional.fields |
| orig_recipient | about.labels.key/value (tidak digunakan lagi) additional.fields |
| orig_src | network.email.from |
| mundur | principal.process.command_line |
| process_id | principal.process.pid |
| protokol | network.application_protocol |
| penerima | network.email.to |
| recipient_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| recipient_domain | about.labels.key/value (tidak digunakan lagi) additional.fields |
| recipient_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| retries | about.labels.key/value (tidak digunakan lagi) additional.fields |
| return_addr | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ukuran | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| status_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| subject | network.email.subject(repeated) |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| url | about.url |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| xdelay | about.labels.key/value (tidak digunakan lagi) additional.fields |
| xref | about.labels.key/value (tidak digunakan lagi) additional.fields |
Pemfilteran
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Pemfilteran set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| filter_action | about.labels.key/value (tidak digunakan lagi) additional.fields |
| filter_score | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_extra | about.labels.key/value (tidak digunakan lagi) additional.fields |
| signature_id | metadata.product_event_type |
Port
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Port set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| creation_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_timesync | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_should_timesync | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_should_update | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| state | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| transportasi | network.ip_protocol |
| transport_dest_port | target.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Proses
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Proses set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_is_expected | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_timesync | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| mem_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent_process_exec | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| mundur | about.labels.key/value (tidak digunakan lagi) additional.fields |
| process_current_directory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| process_exec | about.labels.key/value (tidak digunakan lagi) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Layanan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Layanan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| deskripsi | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_is_expected | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_timesync | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| pelanggan | target.application |
| service_dll | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_dll_signature_exists | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_dll_signature_verified | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_signature_exists | about.labels.key/value (tidak digunakan lagi) additional.fields |
| service_signature_verified | about.labels.key/value (tidak digunakan lagi) additional.fields |
| start_mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Filesystem
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Filesystem set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_timesync | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| file_access_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Registry
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Registry set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_timesync | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (tidak digunakan lagi) additional.fields |
| registry_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (tidak digunakan lagi) additional.fields |
| registry_value_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Tanda tangan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Signature set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
Signatures_vendor_product
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Signatures_vendor_product:
| Kolom log | Pemetaan UDM |
|---|---|
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Interprocess_Messaging
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Interprocess_Messaging:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| endpoint | about.labels.key/value (tidak digunakan lagi) additional.fields |
| endpoint_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pesan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_consumed_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_correlation_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_delivered_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_delivery_mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_expiration_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_properties | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_received_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_redelivered | about.labels.key/value (tidak digunakan lagi) additional.fields |
| message_reply_dest | target.labels.key/value (tidak digunakan lagi) additional.fields |
| message_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parameter | about.labels.key/value (tidak digunakan lagi) additional.fields |
| payload | about.labels.key/value (tidak digunakan lagi) additional.fields |
| payload_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| request_payload | about.labels.key/value (tidak digunakan lagi) additional.fields |
| request_payload_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| request_sent_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| response_received_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| return_message | about.labels.key/value (tidak digunakan lagi) additional.fields |
| rpc_protocol | network.application_protocol |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
IDS_Attacks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk IDS_Attacks:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| kategori | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_priority | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tingkat keseriusan, | security_result.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_port | principal.port |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| transportasi | network.ip_protocol |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
DS_Attacks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk DS_Attacks:
| Kolom log | Pemetaan UDM |
|---|---|
| dest_port | target.port |
All_Inventory
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Inventory:
| Kolom log | Pemetaan UDM |
|---|---|
| deskripsi | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| diaktifkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| keluarga | about.labels.key/value (tidak digunakan lagi) additional.fields |
| hypervisor_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| serial | principal.asset.hardware.serial_number |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | about.labels.key/value (tidak digunakan lagi) additional.fields |
CPU
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk CPU set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_user_percent | about.labels.key/value (tidak digunakan lagi) additional.fields |
Memori
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Memori Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| heap_initial | about.labels.key/value (tidak digunakan lagi) additional.fields |
| heap_max | about.labels.key/value (tidak digunakan lagi) additional.fields |
| heap_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| non_heap_committed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| non_heap_initial | about.labels.key/value (tidak digunakan lagi) additional.fields |
| non_heap_max | about.labels.key/value (tidak digunakan lagi) additional.fields |
| non_heap_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| objects_pending | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mem | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mem_free | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mem_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| swap | about.labels.key/value (tidak digunakan lagi) additional.fields |
| swap_free | about.labels.key/value (tidak digunakan lagi) additional.fields |
| swap_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
jaringan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk jaringan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (tidak digunakan lagi) additional.fields |
| inline_nat | about.labels.key/value (tidak digunakan lagi) additional.fields |
| antarmuka | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mac | principal.asset.mac |
| nama | principal.resource.name |
| node | about.labels.key/value (tidak digunakan lagi) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (tidak digunakan lagi) additional.fields |
| throughput | about.labels.key/value (tidak digunakan lagi) additional.fields |
| thruput_max | about.labels.key/value (tidak digunakan lagi) additional.fields |
OS
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk OS set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| free_physical_memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| free_swap | about.labels.key/value (tidak digunakan lagi) additional.fields |
| max_file_descriptors | about.labels.key/value (tidak digunakan lagi) additional.fields |
| open_file_descriptors | about.labels.key/value (tidak digunakan lagi) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (tidak digunakan lagi) additional.fields |
| os_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| physical_memory | about.labels.key/value (tidak digunakan lagi) additional.fields |
| swap_space | about.labels.key/value (tidak digunakan lagi) additional.fields |
| system_load | about.labels.key/value (tidak digunakan lagi) additional.fields |
| total_processors | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
Penyimpanan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Penyimpanan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| array | about.labels.key/value (tidak digunakan lagi) additional.fields |
| blocksize | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (tidak digunakan lagi) additional.fields |
| latensi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (tidak digunakan lagi) additional.fields |
| read_latency | about.labels.key/value (tidak digunakan lagi) additional.fields |
| read_ops | about.labels.key/value (tidak digunakan lagi) additional.fields |
| penyimpanan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| write_blocks | about.labels.key/value (tidak digunakan lagi) additional.fields |
| write_latency | about.labels.key/value (tidak digunakan lagi) additional.fields |
| write_ops | about.labels.key/value (tidak digunakan lagi) additional.fields |
| array | about.labels.key/value (tidak digunakan lagi) additional.fields |
| blocksize | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (tidak digunakan lagi) additional.fields |
| fd_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| latensi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mount | about.labels.key/value (tidak digunakan lagi) additional.fields |
| parent | principal.resource.parent |
| read_blocks | about.labels.key/value (tidak digunakan lagi) additional.fields |
| read_latency | about.labels.key/value (tidak digunakan lagi) additional.fields |
| read_ops | about.labels.key/value (tidak digunakan lagi) additional.fields |
| penyimpanan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| storage_free | about.labels.key/value (tidak digunakan lagi) additional.fields |
| storage_free_percent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| storage_used | about.labels.key/value (tidak digunakan lagi) additional.fields |
| storage_used_percent | about.labels.key/value (tidak digunakan lagi) additional.fields |
| write_blocks | about.labels.key/value (tidak digunakan lagi) additional.fields |
| write_latency | about.labels.key/value (tidak digunakan lagi) additional.fields |
| write_ops | about.labels.key/value (tidak digunakan lagi) additional.fields |
| error_code | security_result.description |
| operasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| storage_name | about.resource.name |
Pengguna
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Pengguna set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| interaktif | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sandi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| shell | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Virtual_OS:
| Kolom log | Pemetaan UDM |
|---|---|
| hypervisor | about.labels.key/value (tidak digunakan lagi) additional.fields |
Snapshot
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Snapshot set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| ukuran | about.file.size |
| snapshot | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu | about.labels.key/value (tidak digunakan lagi) additional.fields |
JVM
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk JVM set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| jvm_description | security_result.description |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
Threading
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Threading set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| cm_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cm_supported | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_time_enabled | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cpu_time_supported | about.labels.key/value (tidak digunakan lagi) additional.fields |
| current_cpu_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| current_user_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| daemon_thread_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| omu_supported | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jumlah_thread_puncak | about.labels.key/value (tidak digunakan lagi) additional.fields |
| synch_supported | about.labels.key/value (tidak digunakan lagi) additional.fields |
| thread_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| threads_started | about.labels.key/value (tidak digunakan lagi) additional.fields |
Runtime
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Runtime set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| versi | about.labels.key/value (tidak digunakan lagi) additional.fields |
Kompilasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Kompilasi set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| compilation_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
Pemuatan class
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Pemuatan class set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| current_loaded | about.labels.key/value (tidak digunakan lagi) additional.fields |
| total_loaded | about.labels.key/value (tidak digunakan lagi) additional.fields |
| total_unloaded | about.labels.key/value (tidak digunakan lagi) additional.fields |
Malware_Attacks
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Malware_Attacks Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| kategori | security_result.category_details |
| date | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| file_path | target.file.full_path |
| tingkat keseriusan, | security_result.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user | principal.user.user_display_name |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| url | about.url |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Malware_Operations
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Malware_Operations Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_nt_domain | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_nt_domain | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_requires_av | target.labels.key/value (tidak digunakan lagi) additional.fields |
| product_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| signature_version | security_result.rule_version |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Malware_Operations
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Malware_Operations Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
DNS
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk DNS set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| additional_answer_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| jawaban | network.dns.answer.data |
| answer_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| authority_answer_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| message_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| nama | about.labels.key/value (tidak digunakan lagi) additional.fields |
| query | network.dns.questions.name |
| query_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| transaction_id | network.dns.id |
| transportasi | network.ip_protocol |
| ttl | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Sessions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Sessions:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_dns | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| durasi | network.session_duration |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_dns | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
DHCP
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk DHCP set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Traffic
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Traffic:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| aplikasi | network.application_protocol |
| byte | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_interface | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| durasi | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_ip | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| icmp_code | about.labels.key/value (tidak digunakan lagi) additional.fields |
| icmp_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| paket | about.labels.key/value (tidak digunakan lagi) additional.fields |
| packets_in | about.labels.key/value (tidak digunakan lagi) additional.fields |
| packets_out | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protokol | about.labels.key/value (tidak digunakan lagi) additional.fields |
| protocol_version | about.labels.key/value (tidak digunakan lagi) additional.fields |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| aturan | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_interface | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tcp_flag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| transportasi | network.ip_protocol |
| tos | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ttl | network.dns.additional.ttl |
| pengguna | principal.user.userid |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vlan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| wifi | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Performance
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Performance:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_timesync | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| hypervisor_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| resource_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
Fasilitas
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk kumpulan data Splunk Facilities:
| Kolom log | Pemetaan UDM |
|---|---|
| fan_speed | about.labels.key/value (tidak digunakan lagi) additional.fields |
| daya | about.labels.key/value (tidak digunakan lagi) additional.fields |
| suhu | about.labels.key/value (tidak digunakan lagi) additional.fields |
Timesync
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Timesync set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
Waktu beroperasi
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Waktu Operasi set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| waktu beroperasi | about.labels.key/value (tidak digunakan lagi) additional.fields |
View_Activity
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data View_Activity Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| aplikasi | target.application |
| pembelanjaan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uri | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| tampilkan | about.labels.key/value (tidak digunakan lagi) additional.fields |
Datamodel_Acceleration
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Datamodel_Acceleration:
| Kolom log | Pemetaan UDM |
|---|---|
| access_count | about.labels.key/value (tidak digunakan lagi) additional.fields |
| access_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| aplikasi | target.application |
| bucket | about.labels.key/value (tidak digunakan lagi) additional.fields |
| buckets_size | about.labels.key/value (tidak digunakan lagi) additional.fields |
| selesai | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cron | about.labels.key/value (tidak digunakan lagi) additional.fields |
| datamodel | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ringkasan | about.labels.key/value (tidak digunakan lagi) additional.fields |
| paling awal | about.labels.key/value (tidak digunakan lagi) additional.fields |
| is_inprogress | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_error | about.labels.key/value (tidak digunakan lagi) additional.fields |
| last_sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| terbaru | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mod_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| retensi | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ukuran | about.file.size |
| summary_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
Search_Activity
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Search_Activity Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| host | about.hostname |
| info | about.labels.key/value (tidak digunakan lagi) additional.fields |
| search | about.labels.key/value (tidak digunakan lagi) additional.fields |
| search_et | about.labels.key/value (tidak digunakan lagi) additional.fields |
| search_lt | about.labels.key/value (tidak digunakan lagi) additional.fields |
| search_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sumber | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| sourcetype | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Scheduler_Activity:
| Kolom log | Pemetaan UDM |
|---|---|
| aplikasi | target.application |
| host | about.hostname |
| savedsearch_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| sumber | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| sourcetype | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| status | security_result.summary |
| pengguna | principal.user.user_display_name |
Web_Service_Errors
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Web_Service_Errors Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| host | about.hostname |
| sumber | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| sourcetype | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk Modular_Actions:
| Kolom log | Pemetaan UDM |
|---|---|
| action_mode | about.labels.key/value (tidak digunakan lagi) additional.fields |
| action_status | about.labels.key/value (tidak digunakan lagi) additional.fields |
| aplikasi | target.application |
| durasi | network.session_duration |
| komponen | about.labels.key/value (tidak digunakan lagi) additional.fields |
| orig_rid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| orig_sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| rid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| search_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| action_name | security_result.action_details |
| tanda tangan | metadata.description |
| sid | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | about.labels.key/value (tidak digunakan lagi) additional.fields |
All_Ticket_Management
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Splunk All_Ticket_Management:
| Kolom log | Pemetaan UDM |
|---|---|
| affect_dest | target.labels.key/value (tidak digunakan lagi) additional.fields |
| komentar | about.labels.key/value (tidak digunakan lagi) additional.fields |
| deskripsi | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| priority | security_result.priority_details |
| tingkat keseriusan, | security_result.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| splunk_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| splunk_realm | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_user_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Ubah
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Perubahan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| ubah | about.labels.key/value (tidak digunakan lagi) additional.fields |
Insiden
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Kejadian set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| insiden | about.labels.key/value (tidak digunakan lagi) additional.fields |
Masalah
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Masalah set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| masalah | about.labels.key/value (tidak digunakan lagi) additional.fields |
Update
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Pembaruan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_should_update | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tingkat keseriusan, | security_result.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| status | security_result.summary |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Kerentanan
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk Kerentanan set data Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| bugtraq | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kategori | security_result.category_details |
| cert | about.labels.key/value (tidak digunakan lagi) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_category | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dvc_priority | about.labels.key/value (tidak digunakan lagi) additional.fields |
| msft | about.labels.key/value (tidak digunakan lagi) additional.fields |
| mskb | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tingkat keseriusan, | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (tidak digunakan lagi) additional.fields |
| tanda tangan | metadata.description |
| signature_id | metadata.product_event_type |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| url | extensions.vulns.vulnerabilites.about.url |
| pengguna | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
| xref | about.labels.key/value (tidak digunakan lagi) additional.fields |
Web
Tabel berikut mencantumkan kolom log dan pemetaan UDM yang sesuai untuk set data Web Splunk:
| Kolom log | Pemetaan UDM |
|---|---|
| action | security_result.action_details security_result.action |
| aplikasi | target.application |
| byte | about.labels.key/value (tidak digunakan lagi) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| di-cache | about.labels.key/value (tidak digunakan lagi) additional.fields |
| kategori | security_result.category_details |
| kue | about.labels.key/value (tidak digunakan lagi) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (tidak digunakan lagi) |
| dest_bunit | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_category | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_priority | target.labels.key/value (tidak digunakan lagi) additional.fields |
| dest_port | target.port |
| durasi | network.session_duration |
| http_content_type | about.labels.key/value (tidak digunakan lagi) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (tidak digunakan lagi) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (tidak digunakan lagi) additional.fields |
| response_time | about.labels.key/value (tidak digunakan lagi) additional.fields |
| situs | about.labels.key/value (tidak digunakan lagi) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (tidak digunakan lagi) |
| src_bunit | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_category | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| src_priority | principal.labels.key/value (tidak digunakan lagi) additional.fields |
| status | network.http.response_code |
| tag | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uri_path | about.labels.key/value (tidak digunakan lagi) additional.fields |
| uri_query | about.labels.key/value (tidak digunakan lagi) additional.fields |
| url | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (tidak digunakan lagi) additional.fields |
| pengguna | principal.user.user_display_name |
| user_bunit | about.labels.key/value (tidak digunakan lagi) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (tidak digunakan lagi) additional.fields |
Jenis peristiwa UDM
Tabel berikut mencantumkan tag Splunk dan jenis peristiwa UDM yang sesuai:
| Model data | Tag Splunk | Jenis peristiwa UDM |
|---|---|---|
| Notifikasi | pemberitahuan | STATUS_UPDATE |
| Authentication | autentikasi | USER_UNCATEGORIZED |
| Certificate | sertifikat | NETWORK_UNCATEGORIZED |
| Ubah | ubah | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Akses Data | data, akses | USER_RESOURCE_ACCESS |
| Database | database | USER_RESOURCE_ACCESS |
| Database | database, instance, statistik | STATUS_UPDATE |
| Database | database, instance, status | STATUS_UPDATE |
| Database | database, instance, lock | STATUS_UPDATE |
| Database | database, kueri | STATUS_UPDATE |
| Database | database, kueri, ruang tabel | STATUS_UPDATE |
| Database | database, kueri, statistik | STATUS_UPDATE |
| Pencegahan Kebocoran Data | dlp, insiden | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| email, pengiriman | EMAIL_TRANSACTION | |
| Endpoint | mendengarkan, port | SERVICE_UNSPECIFIED |
| Endpoint | proses, laporan | PROCESS_UNCATEGORIZED |
| Endpoint | layanan, laporan | SERVICE_UNSPECIFIED |
| Endpoint | endpoint, sistem file | FILE_UNCATEGORIZED |
| Endpoint | endpoint, registry | REGISTRY_UNCATEGORIZED |
| Tanda Tangan Peristiwa | track_event_signature | STATUS_UPDATE |
| Inter Process Messaging | fitur pesan | STATUS_UPDATE |
| Deteksi Penyusupan | ids, attack | SERVICE_UNSPECIFIED |
| Inventaris | inventaris | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Java Virtual Machine (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | malware | STATUS_UPDATE |
| Resolusi Jaringan(DNS) | jaringan, resolusi, dns | NETWORK_DNS |
| Sesi Jaringan | jaringan, sesi | NETWORK_CONNECTION |
| Sesi Jaringan | jaringan, sesi, dhcp | NETWORK_DHCP |
| Traffic Jaringan | jaringan, berkomunikasi | NETWORK_CONNECTION |
| Performa | performa | SERVICE_UNSPECIFIED |
| Log Audit Splunk | modaction | STATUS_UPDATE |
| Pengelolaan Tiket | penjualan tiket | STATUS_UPDATE |
| Pengelolaan Tiket | penjualan tiket, perubahan | STATUS_UPDATE |
| Update | update | STATUS_UPDATE |
| Vulnerabilities | laporan, kerentanan | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |
Langkah berikutnya
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.