Splunk CIM-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie CIM-Logs (Splunk Common Information Model) erfassen, indem Sie Splunk und einen Google Security Operations-Weiterleiter konfigurieren. In diesem Dokument sind auch die unterstützten Protokolltypen und Splunk-Versionen aufgeführt.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Übersicht
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie Splunk-Agents so konfiguriert werden, dass Protokolle an Google Security Operations gesendet werden. Jede Kundenimplementierung kann von dieser Darstellung abweichen und komplexer sein.
Das Architekturdiagramm zeigt die folgenden Komponenten:
Datenquelle: Das zu überwachende System, in dem Splunk installiert ist.
Splunk: Hier werden Informationen aus der Datenquelle erfasst und an den Google Security Operations-Weiterleiter weitergeleitet.
Google Security Operations-Weiterleitung: Eine schlanke Softwarekomponente, die im Netzwerk des Kunden bereitgestellt wird, um die Logs an Google Security Operations weiterzuleiten.
Google Security Operations: Hier werden die Logs vom Fleet-Server aufbewahrt und analysiert.
Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Datenaufnahmelabel SPLUNK.
Hinweise
Verwenden Sie Splunk-Version 5.0, die vom Google Security Operations-Parser unterstützt wird.
Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.
Splunk-Agent und Google Security Operations-Weiterleiter konfigurieren
Installieren Sie einen CIM-kompatiblen Agenten von Splunkbase.
Richten Sie einen Google Security Operations-Weiterleiter ein.
Konfigurieren Sie den Google Security Operations-Weiterleiter so, dass die Protokolle an das Google Security Operations-System gesendet werden. Im Folgenden finden Sie ein Beispiel für die Konfiguration eines Google Security Operations-Weiterleitungsservers:
- splunk: common: enabled: true data_type: SPLUNK batch_n_seconds: 10 batch_n_bytes: 819200 url: <SPLUNK_URL> query_cim: true is_ignore_cert: true query_string: datamodel Network_Traffic All_Traffic flat
Hinweise zum Erstellen von Splunk-Suchanfragen
Splunk hat eine eigene Suchsprache, die SQL ähnelt. Achten Sie darauf, die richtige Syntax für Ihre Suchanfrage zu verwenden. Berücksichtigen Sie beim Erstellen einer Suchanfrage die folgenden Merkmale:
Escape-Zeichen
Wenn ein Stringwert doppelte Anführungszeichen " enthält, müssen Sie die Anführungszeichen mit umgekehrten Schrägstrichen maskieren. Andernfalls wird das Ende des Stringwerts bei der Suche falsch interpretiert.
Beispiel: Wenn Sie in einem String WHERE _raw="The user "vpatel" isn't authenticated." nach einem doppelten Anführungszeichen suchen möchten, müssen Sie die Sequenz \" verwenden.
Der Suchstring muss folgendermaßen formatiert sein:
WHERE _raw="The user \"vpatel\" isn't authenticated."
Wenn Sie einen umgekehrten Schrägstrich \ ausblenden möchten, verwenden Sie die Sequenz \\, um nach einem umgekehrten Schrägstrich zu suchen.
Wenn ein String beispielsweise C:\user\abc lautet, muss er als C:\\user\\abc geschrieben werden.
Syntaktisch falsche Suche
Wenn ein Teil der Abfrage ungültig ist, wird die gesamte Abfrage nicht ausgewertet und eine Fehlermeldung wird angezeigt.
Im folgenden Beispiel fehlt die Option „Suchmodus“ in der Abfrage:
multisearch [|datamodel Network_Traffic All_Traffic] [|datamodel Network_Sessions All_Sessions flat]
In diesem Beispiel fehlt die Option „Suchmodus“ in der Abfrage. Dies führt zu folgendem Fehler:
Error in 'multisearch' command: Multisearch sub searches might only contain purely streaming operations. The search job has failed due to an error.
Unterstützung mehrerer Datenmodelle
Splunk unterstützt eine einzelne große Abfrage, die mehrere Datenmodelle umfasst. Mit der folgenden Suchabfrage werden Daten aus mehreren Datenmodellen extrahiert:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Hier sind die Komponenten dieser Abfrage, die Datenmodelle umfasst:
Multisearch: Die Suchanfrage muss mit dem Wort multisearch beginnen. Eine Abfrage für ein Datenmodell muss in eckige Klammern [ ] gesetzt werden und mit einem Pipe-Zeichen | beginnen.
Network_Traffic: Der Name des Datenmodells.
All_Traffic: Dataset des Network_Traffic-Datenmodells.
flat: Suchmodus. Die anderen Optionen sind search und acceleration_search.
Wir empfehlen die folgende Splunk-Abfrage für die Suche nach mehreren Datenmodellen:
multisearch [|datamodel Network_Traffic All_Traffic flat] [|datamodel Network_Sessions All_Sessions flat]
Unterstützte Protokolltypen und Datenmodelle
| Splunk-Datenmodell | Unterstützt |
|---|---|
| Benachrichtigungen | Ja |
| Anwendungsstatus (veraltet) | Nein |
| Authentifizierung | Ja |
| Zertifikate | Ja |
| Ändern | Ja |
| Änderungsanalyse (veraltet) | Nein |
| Datenzugriff | Ja |
| Datenbanken | Ja |
| Schutz vor Datenverlust | Ja |
| Ja | |
| Endpunkt | Ja |
| Ereignissignaturen | Ja |
| Interprocess Messaging | Ja |
| Einbruchserkennung | Ja |
| Inventar | Ja |
| Java Virtual Machines (JVM) | Ja |
| Malware | Ja |
| Netzwerkauflösung (DNS) | Ja |
| Netzwerksitzungen | Ja |
| Netzwerkverkehr | Ja |
| Leistung | Ja |
| Splunk-Audit-Logs | Ja |
| Ticketverwaltung | Ja |
| Updates | Ja |
| Sicherheitslücken | Ja |
| Web | Ja |
Referenz für die Feldzuordnung
In diesem Abschnitt wird beschrieben, wie der Google Security Operations-Parser Splunk-Protokollfelder den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) von Google Security Operations für die Datensätze zuordnet. Weitere Informationen finden Sie im Splunk-Dokument für Version 5.0.1.
Benachrichtigungen
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Benachrichtigungen“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| App | observer.application |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_type | target.resource.resource_type |
| id | metadata.product_log_id |
| mitre_technique_id | security_result.detection_fields.labels.key/value |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | security_result.rule_name |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_type | principal.resource.resource_type |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Typ | security_result.alert_state |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_name | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (veraltet) additional.fields |
| vendor_region | about.location.country_or_region |
Authentifizierung
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Authentication“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| authentication_method | about.labels.key/value (veraltet) additional.fields |
| authentication_service | extension.auth.auth_details |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_nt_domain | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| reason | security_result.summary |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_nt_domain | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_user_category | principal.labels.key/value (veraltet) additional.fields |
| src_user_id | principal.user.userid |
| src_user_priority | principal.labels.key/value (veraltet) additional.fields |
| src_user_role | principal.user.attribute.roles.name (wiederholt) |
| src_user_type | principal.user.attribute.roles.type |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
| user_role | principal.user.attribute.roles.name (wiederholt) |
| user_type | principal.user.attribute.roles.type |
| vendor_account | about.labels.key/value (veraltet) additional.fields |
All_Certificates
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Certificates“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| response_time | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| transport | network.ip_protocol |
SSL
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „SSL“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| ssl_end_time | network.tls.server.certificate.not_after |
| ssl_engine | about.labels.key/value (veraltet) additional.fields |
| ssl_hash | about.labels.key/value (veraltet) additional.fields |
| ssl_is_valid | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer | network.tls.server.certificate.issuer |
| ssl_issuer_common_name | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_email | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_email_domain | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_locality | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_organization | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_state | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_street | about.labels.key/value (veraltet) additional.fields |
| ssl_issuer_unit | about.labels.key/value (veraltet) additional.fields |
| ssl_name | about.labels.key/value (veraltet) additional.fields |
| ssl_policies | about.labels.key/value (veraltet) additional.fields |
| ssl_publickey | about.labels.key/value (veraltet) additional.fields |
| ssl_publickey_algorithm | about.labels.key/value (veraltet) additional.fields |
| ssl_serial | network.tls.server.certificate.serial |
| ssl_session_id | network.session_id |
| ssl_signature_algorithm | about.labels.key/value (veraltet) additional.fields |
| ssl_start_time | network.tls.server.certificate.not_before |
| ssl_subject | network.tls.server.certificate.subject |
| ssl_subject_common_name | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_email | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_email_domain | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_locality | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_organization | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_state | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_street | about.labels.key/value (veraltet) additional.fields |
| ssl_subject_unit | about.labels.key/value (veraltet) additional.fields |
| ssl_validity_window | about.labels.key/value (veraltet) additional.fields |
| ssl_version | network.tls.server.certificate.version |
All_Changes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Changes“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| change_type | security_result.category_details |
| Befehl | principal.process.command_line |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| Objekt | target.resource.name |
| object_attrs | about.labels.key/value (veraltet) additional.fields |
| object_category | about.labels.key/value (veraltet) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| Ergebnis | metadata.description |
| result_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | target.user.userid |
| user_agent | network.http.user_agent |
| user_name | principal.user.user_display_name, target.labels.key/value |
| user_type | principal.user.attribute.roles.type, target.user.attribute.roles.type |
| vendor_account | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| vendor_region | about.location.country_or_region |
Account_Management
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Account_Management“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_nt_domain | target.administrative_domain |
| src_nt_domain | principal.administrative_domain |
| src_user | principal.user.userid |
| src_user_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_user_category | principal.labels.key/value (veraltet) additional.fields |
| src_user_priority | principal.labels.key/value (veraltet) additional.fields |
| src_user_name | principal.labels.key/value (veraltet) additional.fields |
| src_user_type | principal.user.attribute.roles.type |
Instance_Changes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Instance_Changes“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| image_id | principal.asset_id |
| instance_type | about.labels.key/value (veraltet) additional.fields |
network_Changes
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „network_Changes“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_ip_range | target.labels.key/value (veraltet) additional.fields |
| dest_port_range | target.labels.key/value (veraltet) additional.fields |
| direction | network.direction |
| Protokoll | network.ip_protocol |
| rule_action | security_result.action_details security_result.action |
| src_ip_range | principal.labels.key/value (veraltet) additional.fields |
| src_port_range | principal.labels.key/value (veraltet) additional.fields |
Data_Access
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Data_Access“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| app_id | metadata.product_log_id |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_name | target.administrative_domain |
| dest_url | target.url |
| dvc | principal.asset.hostname, principal.asset.ip |
| principal.user.email_addresses | |
| Objekt | target.resource.name |
| object_category | about.labels.key/value (veraltet) additional.fields |
| object_id | target.user.product_object_id |
| object_path | target.file.full_path |
| object_size | target.file.size |
| Inhaber | about.labels.key/value (veraltet) additional.fields |
| owner_email | about.labels.key/value (veraltet) additional.fields |
| owner_id | principal.user.userid |
| parent_object | target.resource.parent |
| parent_object_id | about.labels.key/value (veraltet) additional.fields |
| parent_object_category | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| tenant_id | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_agent | network.http.user_agent |
| user_group | principal.user.group_identifiers(repeated) |
| user_role | principal.user.attribute.roles.name (wiederholt) |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| vendor_product_id | about.labels.key/value (veraltet) additional.fields |
All_Databases
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Databases“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| Objekt | target.resource.name |
| response_time | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Database_Instance
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Database_Instance“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| instance_name | target.resource.attributes.key/value |
| instance_version | target.resource.attributes.key/value |
| process_limit | about.labels.key/value (veraltet) additional.fields |
| session_limit | about.labels.key/value (veraltet) additional.fields |
Database_Query
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Database_Query“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Abfrage | about.labels.key/value (veraltet) additional.fields |
| query_id | about.labels.key/value (veraltet) additional.fields |
| query_time | about.labels.key/value (veraltet) additional.fields |
| records_affected | about.labels.key/value (veraltet) additional.fields |
Instance_Stats
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Instance_Stats“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Verfügbarkeit | about.labels.key/value (veraltet) additional.fields |
| avg_executions | about.labels.key/value (veraltet) additional.fields |
| dump_area_used | about.labels.key/value (veraltet) additional.fields |
| instance_reads | about.labels.key/value (veraltet) additional.fields |
| instance_writes | about.labels.key/value (veraltet) additional.fields |
| number_of_users | about.labels.key/value (veraltet) additional.fields |
| Verfahren | about.labels.key/value (veraltet) additional.fields |
| Sitzungen | about.labels.key/value (veraltet) additional.fields |
| sga_buffer_cache_size | about.labels.key/value (veraltet) additional.fields |
| sga_buffer_hit_limit | about.labels.key/value (veraltet) additional.fields |
| sga_data_dict_hit_ratio | about.labels.key/value (veraltet) additional.fields |
| sga_fixed_area_size | about.labels.key/value (veraltet) additional.fields |
| sga_free_memory | about.labels.key/value (veraltet) additional.fields |
| sga_library_cache_size | about.labels.key/value (veraltet) additional.fields |
| sga_redo_log_buffer_size | about.labels.key/value (veraltet) additional.fields |
| sga_shared_pool_size | about.labels.key/value (veraltet) additional.fields |
| sga_sql_area_size | about.labels.key/value (veraltet) additional.fields |
| start_time | about.labels.key/value (veraltet) additional.fields |
| tablespace_used | about.labels.key/value (veraltet) additional.fields |
Session_Info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Session_Info“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| buffer_cache_hit_ratio | about.labels.key/value (veraltet) additional.fields |
| Commits | about.labels.key/value (veraltet) additional.fields |
| cpu_used | about.labels.key/value (veraltet) additional.fields |
| cursor | about.labels.key/value (veraltet) additional.fields |
| elapsed_time | about.labels.key/value (veraltet) additional.fields |
| logical_reads | about.labels.key/value (veraltet) additional.fields |
| Maschine | about.hostname |
| memory_sorts | about.labels.key/value (veraltet) additional.fields |
| physical_reads | about.labels.key/value (veraltet) additional.fields |
| seconds_in_wait | about.labels.key/value (veraltet) additional.fields |
| session_id | network.session_id |
| session_status | about.labels.key/value (veraltet) additional.fields |
| table_scans | about.labels.key/value (veraltet) additional.fields |
| wait_state | about.labels.key/value (veraltet) additional.fields |
| wait_time | about.labels.key/value (veraltet) additional.fields |
Lock_Info
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Lock_Info“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| last_call_minute | about.labels.key/value (veraltet) additional.fields |
| lock_mode | about.labels.key/value (veraltet) additional.fields |
| lock_session_id | about.labels.key/value (veraltet) additional.fields |
| logon_time | about.labels.key/value (veraltet) additional.fields |
| obj_name | about.labels.key/value (veraltet) additional.fields |
| os_pid | target.process.pid |
| serial_num | target.resource.product_object_id |
Speicherbereich
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Tablespace“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| free_bytes | about.file.size |
| tablespace_name | about.resource.name |
| tablespace_reads | about.labels.key/value (veraltet) additional.fields |
| tablespace_status | about.labels.key/value (veraltet) additional.fields |
| tablespace_writes | about.labels.key/value (veraltet) additional.fields |
Query_Stats
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Query_Stats“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| indexes_hit | about.labels.key/value (veraltet) additional.fields |
| query_plan_hit | about.labels.key/value (veraltet) additional.fields |
| stored_procedures_called | about.labels.key/value (veraltet) additional.fields |
| tables_hit | about.labels.key/value (veraltet) additional.fields |
DLP_Incidents
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „DLP_Incidents“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| Kategorie | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_zone | target.location.country_or_origin |
| dlp_type | about.labels.key/value (veraltet) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (veraltet) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| Objekt | target.resource.name |
| object_category | about.labels.key/value (veraltet) additional.fields |
| object_path | target.file.full_path |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_user_category | principal.labels.key/value (veraltet) additional.fields |
| src_user_priority | principal.labels.key/value (veraltet) additional.fields |
| src_zone | principal.location.country_or_origin |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
All_Email
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Email“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| delay | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| file_hash | about.file.sha256, about.file.md5, about.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_size | about.file.size |
| internal_message_id | metadata.product_log_id |
| message_id | network.email.mail_id |
| message_info | about.labels.key/value (veraltet) additional.fields |
| orig_dest | target.labels.key/value (veraltet) additional.fields |
| orig_recipient | about.labels.key/value (veraltet) additional.fields |
| orig_src | network.email.from |
| verarbeiten | principal.process.command_line |
| process_id | principal.process.pid |
| Protokoll | network.application_protocol |
| Empfänger | network.email.to |
| recipient_count | about.labels.key/value (veraltet) additional.fields |
| recipient_domain | about.labels.key/value (veraltet) additional.fields |
| recipient_status | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| retries | about.labels.key/value (veraltet) additional.fields |
| return_addr | about.labels.key/value (veraltet) additional.fields |
| Größe | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_user | principal.user.email_addresses |
| src_user_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_user_category | principal.labels.key/value (veraltet) additional.fields |
| src_user_domain | principal.administrative_domain |
| src_user_priority | principal.labels.key/value (veraltet) additional.fields |
| status_code | about.labels.key/value (veraltet) additional.fields |
| subject | network.email.subject(repeated) |
| Tag | about.labels.key/value (veraltet) additional.fields |
| URL | about.url |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| xdelay | about.labels.key/value (veraltet) additional.fields |
| xref | about.labels.key/value (veraltet) additional.fields |
Wird gefiltert
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Filtering“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| filter_action | about.labels.key/value (veraltet) additional.fields |
| filter_score | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_extra | about.labels.key/value (veraltet) additional.fields |
| signature_id | metadata.product_event_type |
Ports
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Ports“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| creation_time | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| dest_should_timesync | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_port | principal.port |
| src_requires_av | principal.labels.key/value (veraltet) additional.fields |
| src_should_timesync | principal.labels.key/value (veraltet) additional.fields |
| src_should_update | principal.labels.key/value (veraltet) additional.fields |
| Status | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| transport | network.ip_protocol |
| transport_dest_port | target.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Prozesse
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Prozesse“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| cpu_load_percent | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_is_expected | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| dest_should_timesync | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| mem_used | about.labels.key/value (veraltet) additional.fields |
| original_file_name | src.file.full_path |
| os | principal.asset.platform_software.platform_version |
| parent_process | about.labels.key/value (veraltet) additional.fields |
| parent_process_exec | about.labels.key/value (veraltet) additional.fields |
| parent_process_id | principal.process.parent_process.parent_pid |
| parent_process_guid | principal.process.parent_process.product_specific_process_id |
| parent_process_name | about.labels.key/value (veraltet) additional.fields |
| parent_process_path | principal.process.parent_process.command_line |
| verarbeiten | about.labels.key/value (veraltet) additional.fields |
| process_current_directory | about.labels.key/value (veraltet) additional.fields |
| process_exec | about.labels.key/value (veraltet) additional.fields |
| process_hash | principal.process.file.sha256/principal.process.file.md5/principal..process.file.sha1 |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| process_integrity_level | security_result.severity |
| process_name | principal.process.command_line |
| process_path | principal.process.file.full_path |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_id | principal.user.userid |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Dienste
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Services“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_is_expected | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| dest_should_timesync | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| Dienst | target.application |
| service_dll | about.labels.key/value (veraltet) additional.fields |
| service_dll_path | about.file.full_path |
| service_dll_hash | about.labels.key/value (veraltet) additional.fields |
| service_dll_signature_exists | about.labels.key/value (veraltet) additional.fields |
| service_dll_signature_verified | about.labels.key/value (veraltet) additional.fields |
| service_exec | target.process.file.full_path |
| service_hash | about.labels.key/value (veraltet) additional.fields |
| service_id | about.labels.key/value (veraltet) additional.fields |
| service_name | about.labels.key/value (veraltet) additional.fields |
| service_path | about.labels.key/value (veraltet) additional.fields |
| service_signature_exists | about.labels.key/value (veraltet) additional.fields |
| service_signature_verified | about.labels.key/value (veraltet) additional.fields |
| start_mode | about.labels.key/value (veraltet) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Dateisystem
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Dateisystem“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| dest_should_timesync | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| file_access_time | about.labels.key/value (veraltet) additional.fields |
| file_create_time | target.asset.attribute.creation_time |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_modify_time | about.labels.key/value (veraltet) additional.fields |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_path | target.file.full_path |
| file_acl | about.labels.key/value (veraltet) additional.fields |
| file_size | target.file.size |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Registry
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für die Splunk-Datensatzregistrierung aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| dest_should_timesync | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| process_guid | principal.process.product_specific_process_id |
| process_id | principal.process.pid |
| registry_hive | about.labels.key/value (veraltet) additional.fields |
| registry_path | about.labels.key/value (veraltet) additional.fields |
| registry_key_name | target.registry.registry_key |
| registry_value_data | target.registry.registry_value_data |
| registry_value_name | target.registry.registry_value_name |
| registry_value_text | about.labels.key/value (veraltet) additional.fields |
| registry_value_type | about.labels.key/value (veraltet) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Signaturen
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Signaturen“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| Tag | about.labels.key/value (veraltet) additional.fields |
Signatures_vendor_product
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Signatures_vendor_product“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| vendor_product | about.labels.key/value (veraltet) additional.fields |
All_Interprocess_Messaging
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Interprocess_Messaging“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| Endpunkt | about.labels.key/value (veraltet) additional.fields |
| endpoint_version | about.labels.key/value (veraltet) additional.fields |
| Nachricht | about.labels.key/value (veraltet) additional.fields |
| message_consumed_time | about.labels.key/value (veraltet) additional.fields |
| message_correlation_id | about.labels.key/value (veraltet) additional.fields |
| message_delivered_time | about.labels.key/value (veraltet) additional.fields |
| message_delivery_mode | about.labels.key/value (veraltet) additional.fields |
| message_expiration_time | about.labels.key/value (veraltet) additional.fields |
| message_id | metadata.product.log_id |
| message_priority | about.labels.key/value (veraltet) additional.fields |
| message_properties | about.labels.key/value (veraltet) additional.fields |
| message_received_time | about.labels.key/value (veraltet) additional.fields |
| message_redelivered | about.labels.key/value (veraltet) additional.fields |
| message_reply_dest | target.labels.key/value (veraltet) additional.fields |
| message_type | about.labels.key/value (veraltet) additional.fields |
| Parameter | about.labels.key/value (veraltet) additional.fields |
| payload | about.labels.key/value (veraltet) additional.fields |
| payload_type | about.labels.key/value (veraltet) additional.fields |
| request_payload | about.labels.key/value (veraltet) additional.fields |
| request_payload_type | about.labels.key/value (veraltet) additional.fields |
| request_sent_time | about.labels.key/value (veraltet) additional.fields |
| response_code | network.http.response_code |
| response_payload_type | about.labels.key/value (veraltet) additional.fields |
| response_received_time | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| return_message | about.labels.key/value (veraltet) additional.fields |
| rpc_protocol | network.application_protocol |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
IDS_Attacks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „IDS_Attacks“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| Kategorie | security_result.category_details |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (veraltet) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_path | target.file.full_path |
| ids_type | about.labels.key/value (veraltet) additional.fields |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_port | principal.port |
| Tag | about.labels.key/value (veraltet) additional.fields |
| transport | network.ip_protocol |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
DS_Attacks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „DS_Attacks“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_port | target.port |
All_Inventory
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Inventory“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| aktiviert | about.labels.key/value (veraltet) additional.fields |
| Familie | about.labels.key/value (veraltet) additional.fields |
| hypervisor_id | about.labels.key/value (veraltet) additional.fields |
| serial | principal.asset.hardware.serial_number |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
CPU
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „CPU“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| cpu_cores | principal.asset.hardware.cpu_number_cores |
| cpu_count | about.labels.key/value (veraltet) additional.fields |
| cpu_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_mhz | principal.asset.hardware.cpu_clock_speed |
| cpu_load_percent | about.labels.key/value (veraltet) additional.fields |
| cpu_time | about.labels.key/value (veraltet) additional.fields |
| cpu_user_percent | about.labels.key/value (veraltet) additional.fields |
Speicher
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Memory“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| mem | principal.asset.hardware.ram |
| heap_committed | about.labels.key/value (veraltet) additional.fields |
| heap_initial | about.labels.key/value (veraltet) additional.fields |
| heap_max | about.labels.key/value (veraltet) additional.fields |
| heap_used | about.labels.key/value (veraltet) additional.fields |
| non_heap_committed | about.labels.key/value (veraltet) additional.fields |
| non_heap_initial | about.labels.key/value (veraltet) additional.fields |
| non_heap_max | about.labels.key/value (veraltet) additional.fields |
| non_heap_used | about.labels.key/value (veraltet) additional.fields |
| objects_pending | about.labels.key/value (veraltet) additional.fields |
| mem | principal.asset.hardware.ram |
| mem_committed | about.labels.key/value (veraltet) additional.fields |
| mem_free | about.labels.key/value (veraltet) additional.fields |
| mem_used | about.labels.key/value (veraltet) additional.fields |
| Swap-Speicher | about.labels.key/value (veraltet) additional.fields |
| swap_free | about.labels.key/value (veraltet) additional.fields |
| swap_used | about.labels.key/value (veraltet) additional.fields |
Netzwerk
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Netzwerk“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_ip | target.ip |
| dns | about.labels.key/value (veraltet) additional.fields |
| inline_nat | about.labels.key/value (veraltet) additional.fields |
| Oberfläche | about.labels.key/value (veraltet) additional.fields |
| ip | principal.asset.ip |
| lb_method | about.labels.key/value (veraltet) additional.fields |
| mac | principal.asset.mac |
| Name | principal.resource.name |
| Knoten | about.labels.key/value (veraltet) additional.fields |
| node_port | target.port |
| src_ip | principal.ip |
| vip_port | about.labels.key/value (veraltet) additional.fields |
| Durchsatz | about.labels.key/value (veraltet) additional.fields |
| thruput_max | about.labels.key/value (veraltet) additional.fields |
Betriebssystem
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „OS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| os | principal.asset.platform_software.platform_version |
| committed_memory | about.labels.key/value (veraltet) additional.fields |
| cpu_time | about.labels.key/value (veraltet) additional.fields |
| free_physical_memory | about.labels.key/value (veraltet) additional.fields |
| free_swap | about.labels.key/value (veraltet) additional.fields |
| max_file_descriptors | about.labels.key/value (veraltet) additional.fields |
| open_file_descriptors | about.labels.key/value (veraltet) additional.fields |
| os | principal.asset.platform_software.platform_version |
| os_architecture | about.labels.key/value (veraltet) additional.fields |
| os_version | about.labels.key/value (veraltet) additional.fields |
| physical_memory | about.labels.key/value (veraltet) additional.fields |
| swap_space | about.labels.key/value (veraltet) additional.fields |
| system_load | about.labels.key/value (veraltet) additional.fields |
| total_processors | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
Speicher
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Speicher“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Array | about.labels.key/value (veraltet) additional.fields |
| blocksize | about.labels.key/value (veraltet) additional.fields |
| Cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (veraltet) additional.fields |
| Latenz | about.labels.key/value (veraltet) additional.fields |
| mount | principal.resource.attribute.labels.key/value |
| Übergeordnetes Element | principal.resource.parent |
| read_blocks | about.labels.key/value (veraltet) additional.fields |
| read_latency | about.labels.key/value (veraltet) additional.fields |
| read_ops | about.labels.key/value (veraltet) additional.fields |
| storage | about.labels.key/value (veraltet) additional.fields |
| write_blocks | about.labels.key/value (veraltet) additional.fields |
| write_latency | about.labels.key/value (veraltet) additional.fields |
| write_ops | about.labels.key/value (veraltet) additional.fields |
| Array | about.labels.key/value (veraltet) additional.fields |
| blocksize | about.labels.key/value (veraltet) additional.fields |
| Cluster | about.resource.resource_type = "CLUSTER" |
| fd_max | about.labels.key/value (veraltet) additional.fields |
| fd_used | about.labels.key/value (veraltet) additional.fields |
| Latenz | about.labels.key/value (veraltet) additional.fields |
| mount | about.labels.key/value (veraltet) additional.fields |
| Übergeordnetes Element | principal.resource.parent |
| read_blocks | about.labels.key/value (veraltet) additional.fields |
| read_latency | about.labels.key/value (veraltet) additional.fields |
| read_ops | about.labels.key/value (veraltet) additional.fields |
| storage | about.labels.key/value (veraltet) additional.fields |
| storage_free | about.labels.key/value (veraltet) additional.fields |
| storage_free_percent | about.labels.key/value (veraltet) additional.fields |
| storage_used | about.labels.key/value (veraltet) additional.fields |
| storage_used_percent | about.labels.key/value (veraltet) additional.fields |
| write_blocks | about.labels.key/value (veraltet) additional.fields |
| write_latency | about.labels.key/value (veraltet) additional.fields |
| write_ops | about.labels.key/value (veraltet) additional.fields |
| error_code | security_result.description |
| Vorgang | about.labels.key/value (veraltet) additional.fields |
| storage_name | about.resource.name |
Nutzer
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Nutzer“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| interactive | about.labels.key/value (veraltet) additional.fields |
| Passwort | about.labels.key/value (veraltet) additional.fields |
| shell | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_id | principal.user.userid |
| user_priority | principal.user.attribute.label.key/value |
Virtual_OS
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Virtual_OS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Hypervisor | about.labels.key/value (veraltet) additional.fields |
Snapshot
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Snapshot“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Größe | about.file.size |
| Snapshot | about.labels.key/value (veraltet) additional.fields |
| Zeit | about.labels.key/value (veraltet) additional.fields |
JVM
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „JVM“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| jvm_description | security_result.description |
| Tag | about.labels.key/value (veraltet) additional.fields |
Unterbrechungen
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Threading“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| cm_enabled | about.labels.key/value (veraltet) additional.fields |
| cm_supported | about.labels.key/value (veraltet) additional.fields |
| cpu_time_enabled | about.labels.key/value (veraltet) additional.fields |
| cpu_time_supported | about.labels.key/value (veraltet) additional.fields |
| current_cpu_time | about.labels.key/value (veraltet) additional.fields |
| current_user_time | about.labels.key/value (veraltet) additional.fields |
| daemon_thread_count | about.labels.key/value (veraltet) additional.fields |
| omu_supported | about.labels.key/value (veraltet) additional.fields |
| peak_thread_count | about.labels.key/value (veraltet) additional.fields |
| synch_supported | about.labels.key/value (veraltet) additional.fields |
| thread_count | about.labels.key/value (veraltet) additional.fields |
| threads_started | about.labels.key/value (veraltet) additional.fields |
Laufzeit
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Runtime“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| process_name | principal.process.command_line |
| start_time | about.labels.key/value (veraltet) additional.fields |
| uptime | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| Version | about.labels.key/value (veraltet) additional.fields |
Zusammenstellung
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Compilation“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| compilation_time | about.labels.key/value (veraltet) additional.fields |
Kurse laden
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Classloading“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| current_loaded | about.labels.key/value (veraltet) additional.fields |
| total_loaded | about.labels.key/value (veraltet) additional.fields |
| total_unloaded | about.labels.key/value (veraltet) additional.fields |
Malware_Attacks
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Malware_Attacks“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| Kategorie | security_result.category_details |
| Datum | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_nt_domain | target.administrative_domain |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| file_path | target.file.full_path |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_user | principal.user.user_display_name |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| URL | about.url |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Malware_Operations
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Malware_Operations“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_nt_domain | target.labels.key/value (veraltet) additional.fields |
| dest_nt_domain | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_requires_av | target.labels.key/value (veraltet) additional.fields |
| product_version | about.labels.key/value (veraltet) additional.fields |
| signature_version | security_result.rule_version |
| Tag | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Malware_Operations
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Malware_Operations“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest_category | target.labels.key/value (veraltet) additional.fields |
DNS
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „DNS“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| additional_answer_count | about.labels.key/value (veraltet) additional.fields |
| Annehmen | network.dns.answer.data |
| answer_count | about.labels.key/value (veraltet) additional.fields |
| authority_answer_count | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_port | target.port |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| message_type | about.labels.key/value (veraltet) additional.fields |
| Name | about.labels.key/value (veraltet) additional.fields |
| Abfrage | network.dns.questions.name |
| query_count | about.labels.key/value (veraltet) additional.fields |
| query_type | network.dns.questions.type |
| record_type | network.dns.answer.type(uint32) |
| reply_code | about.labels.key/value (veraltet) additional.fields |
| reply_code_id | network.dns.response_code |
| response_time | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_port | principal.port |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| transaction_id | network.dns.id |
| transport | network.ip_protocol |
| ttl | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Alle_Sitzungen
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Sessions“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_dns | target.labels.key/value (veraltet) additional.fields |
| dest_ip | network.dhcp.ciaddr |
| dest_mac | network.dhcp.chaddr |
| dest_nt_host | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Dauer | network.session_duration |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_dns | principal.labels.key/value (veraltet) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_nt_host | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
DHCP
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „DHCP“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| lease_duration | network.dhcp.lease_time_second |
| lease_scope | about.labels.key/value (veraltet) additional.fields |
All_Traffic
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Traffic“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | network.application_protocol |
| Byte | about.labels.key/value (veraltet) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| channel | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_interface | target.labels.key/value (veraltet) additional.fields |
| dest_ip | target.ip |
| dest_mac | target.mac |
| dest_port | target.port |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_translated_ip | target.nat_ip |
| dest_translated_port | target.nat_port |
| dest_zone | target.location.country_or_origin |
| direction | network.direction |
| Dauer | network.session_duration |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (veraltet) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_ip | about.labels.key/value (veraltet) additional.fields |
| dvc_mac | principal.asset.mac |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| dvc_zone | principal.asset.location.country_or_region |
| flow_id | about.labels.key/value (veraltet) additional.fields |
| icmp_code | about.labels.key/value (veraltet) additional.fields |
| icmp_type | about.labels.key/value (veraltet) additional.fields |
| Pakete | about.labels.key/value (veraltet) additional.fields |
| packets_in | about.labels.key/value (veraltet) additional.fields |
| packets_out | about.labels.key/value (veraltet) additional.fields |
| Protokoll | about.labels.key/value (veraltet) additional.fields |
| protocol_version | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Regel | security_result.rule_id |
| session_id | network.session_id |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_interface | principal.labels.key/value (veraltet) additional.fields |
| src_ip | principal.ip |
| src_mac | principal.mac |
| src_port | principal.port |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| src_translated_ip | principal.nat_ip |
| src_translated_port | principal.nat_port |
| src_zone | principal.location.country_or_origin |
| ssid | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
| tcp_flag | about.labels.key/value (veraltet) additional.fields |
| transport | network.ip_protocol |
| tos | about.labels.key/value (veraltet) additional.fields |
| ttl | network.dns.additional.ttl |
| Nutzer | principal.user.userid |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_account | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| vlan | about.labels.key/value (veraltet) additional.fields |
| wlan | about.labels.key/value (veraltet) additional.fields |
All_Performance
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Performance“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_should_timesync | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| hypervisor_id | about.labels.key/value (veraltet) additional.fields |
| Ressourcentyp | about.labels.key/value (veraltet) additional.fields |
| Tag | about.labels.key/value (veraltet) additional.fields |
Räumlichkeiten
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Facilities“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| fan_speed | about.labels.key/value (veraltet) additional.fields |
| power | about.labels.key/value (veraltet) additional.fields |
| Temperatur | about.labels.key/value (veraltet) additional.fields |
Zeitsynchronisierung
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Timesync“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
Betriebszeit
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Uptime“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| uptime | about.labels.key/value (veraltet) additional.fields |
View_Activity
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „View_Activity“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| App | target.application |
| Ausgaben | about.labels.key/value (veraltet) additional.fields |
| uri | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| Ansicht | about.labels.key/value (veraltet) additional.fields |
Datamodel_Acceleration
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Datamodel_Acceleration“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| access_count | about.labels.key/value (veraltet) additional.fields |
| access_time | about.labels.key/value (veraltet) additional.fields |
| App | target.application |
| Buckets | about.labels.key/value (veraltet) additional.fields |
| buckets_size | about.labels.key/value (veraltet) additional.fields |
| abgeschlossen | about.labels.key/value (veraltet) additional.fields |
| cron | about.labels.key/value (veraltet) additional.fields |
| datamodel | about.labels.key/value (veraltet) additional.fields |
| Hashwert | about.labels.key/value (veraltet) additional.fields |
| früheste | about.labels.key/value (veraltet) additional.fields |
| is_inprogress | about.labels.key/value (veraltet) additional.fields |
| last_error | about.labels.key/value (veraltet) additional.fields |
| last_sid | about.labels.key/value (veraltet) additional.fields |
| neueste | about.labels.key/value (veraltet) additional.fields |
| mod_time | about.labels.key/value (veraltet) additional.fields |
| Nachrichten | about.labels.key/value (veraltet) additional.fields |
| Größe | about.file.size |
| summary_id | about.labels.key/value (veraltet) additional.fields |
Search_Activity
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Search_Activity“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Host | about.hostname |
| Info | about.labels.key/value (veraltet) additional.fields |
| search | about.labels.key/value (veraltet) additional.fields |
| search_et | about.labels.key/value (veraltet) additional.fields |
| search_lt | about.labels.key/value (veraltet) additional.fields |
| search_type | about.labels.key/value (veraltet) additional.fields |
| source | principal.labels.key/value (veraltet) additional.fields |
| sourcetype | principal.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Scheduler_Activity
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Scheduler_Activity“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| App | target.application |
| Host | about.hostname |
| savedsearch_name | about.labels.key/value (veraltet) additional.fields |
| sid | about.labels.key/value (veraltet) additional.fields |
| source | principal.labels.key/value (veraltet) additional.fields |
| sourcetype | principal.labels.key/value (veraltet) additional.fields |
| splunk_server | principal.ip, principal.hostname |
| Status | security_result.summary |
| Nutzer | principal.user.user_display_name |
Web_Service_Errors
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Web_Service_Errors“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Host | about.hostname |
| source | principal.labels.key/value (veraltet) additional.fields |
| sourcetype | principal.labels.key/value (veraltet) additional.fields |
| event_id | security_result.rule_name |
Modular_Actions
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Modular_Actions“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| action_mode | about.labels.key/value (veraltet) additional.fields |
| action_status | about.labels.key/value (veraltet) additional.fields |
| App | target.application |
| Dauer | network.session_duration |
| Komponente | about.labels.key/value (veraltet) additional.fields |
| orig_rid | about.labels.key/value (veraltet) additional.fields |
| orig_sid | about.labels.key/value (veraltet) additional.fields |
| rid | about.labels.key/value (veraltet) additional.fields |
| search_name | about.labels.key/value (veraltet) additional.fields |
| action_name | security_result.action_details |
| Unterschrift | metadata.description |
| sid | about.labels.key/value (veraltet) additional.fields |
| Nutzer | about.labels.key/value (veraltet) additional.fields |
All_Ticket_Management
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „All_Ticket_Management“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| affect_dest | target.labels.key/value (veraltet) additional.fields |
| Kommentare | about.labels.key/value (veraltet) additional.fields |
| description | security_result.description |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| Priorität | security_result.priority_details |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| splunk_id | about.labels.key/value (veraltet) additional.fields |
| splunk_realm | about.labels.key/value (veraltet) additional.fields |
| src_user | principal.user.user_display_name |
| src_user_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_user_category | principal.labels.key/value (veraltet) additional.fields |
| src_user_priority | principal.labels.key/value (veraltet) additional.fields |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
| ticket_id | target.user.attribute.label.ley/value |
| time_submitted | principal.user.attribute.creation_time |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
Ändern
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Änderung“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Ändern | about.labels.key/value (veraltet) additional.fields |
Vorfall
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Incident“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Vorfall | about.labels.key/value (veraltet) additional.fields |
Problem
In der folgenden Tabelle sind die Logfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Problem“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Problem | about.labels.key/value (veraltet) additional.fields |
Updates
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Updates“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_should_update | target.labels.key/value (veraltet) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| file_hash | target.file.sha256, target.file.md5, target.file.sha1 |
| file_name | about.labels.key/value (veraltet) additional.fields |
| die Ausprägung | security_result.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| Status | security_result.summary |
| Tag | about.labels.key/value (veraltet) additional.fields |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
Sicherheitslücken
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Sicherheitslücken“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Bugtraq | about.labels.key/value (veraltet) additional.fields |
| Kategorie | security_result.category_details |
| cert | about.labels.key/value (veraltet) additional.fields |
| cve | vulnerabilites.cve_description |
| cvss | vulnerabilites.cvss_base_score |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dvc | principal.asset.hostname, principal.asset.ip |
| dvc_bunit | about.labels.key/value (veraltet) additional.fields |
| dvc_category | about.labels.key/value (veraltet) additional.fields |
| dvc_priority | about.labels.key/value (veraltet) additional.fields |
| msft | about.labels.key/value (veraltet) additional.fields |
| mskb | about.labels.key/value (veraltet) additional.fields |
| die Ausprägung | extensions.vulns.vulnerabilites.severity |
| severity_id | about.labels.key/value (veraltet) additional.fields |
| Unterschrift | metadata.description |
| signature_id | metadata.product_event_type |
| Tag | about.labels.key/value (veraltet) additional.fields |
| URL | extensions.vulns.vulnerabilites.about.url |
| Nutzer | extensions.vulns.vulnerabilites.about.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
| xref | about.labels.key/value (veraltet) additional.fields |
Web
In der folgenden Tabelle sind die Protokollfelder und die entsprechenden UDM-Zuordnungen für den Splunk-Datensatz „Web“ aufgeführt:
| Logfeld | UDM-Zuordnung |
|---|---|
| Aktion | security_result.action_details security_result.action |
| App | target.application |
| Byte | about.labels.key/value (veraltet) additional.fields |
| bytes_in | network.received_bytes |
| bytes_out | network.sent_bytes |
| im Cache gespeichert | about.labels.key/value (veraltet) additional.fields |
| Kategorie | security_result.category_details |
| Keks | about.labels.key/value (veraltet) additional.fields |
| dest | target.ip target.hostname target.labels.key/value (veraltet) |
| dest_bunit | target.labels.key/value (veraltet) additional.fields |
| dest_category | target.labels.key/value (veraltet) additional.fields |
| dest_priority | target.labels.key/value (veraltet) additional.fields |
| dest_port | target.port |
| Dauer | network.session_duration |
| http_content_type | about.labels.key/value (veraltet) additional.fields |
| http_method | network.http.method |
| http_referrer | network.http.referral_url |
| http_referrer_domain | about.labels.key/value (veraltet) additional.fields |
| http_user_agent | network.http.user_agent |
| http_user_agent_length | about.labels.key/value (veraltet) additional.fields |
| response_time | about.labels.key/value (veraltet) additional.fields |
| Website | about.labels.key/value (veraltet) additional.fields |
| src | principal.ip principal.hostname principal.labels.key/value (veraltet) |
| src_bunit | principal.labels.key/value (veraltet) additional.fields |
| src_category | principal.labels.key/value (veraltet) additional.fields |
| src_priority | principal.labels.key/value (veraltet) additional.fields |
| Status | network.http.response_code |
| Tag | about.labels.key/value (veraltet) additional.fields |
| uri_path | about.labels.key/value (veraltet) additional.fields |
| uri_query | about.labels.key/value (veraltet) additional.fields |
| URL | about.url |
| url_domain | about.asset.network_domain |
| url_length | about.labels.key/value (veraltet) additional.fields |
| Nutzer | principal.user.user_display_name |
| user_bunit | about.labels.key/value (veraltet) additional.fields |
| user_category | principal.user.attribute.labels.key/value |
| user_priority | principal.user.attribute.label.key/value |
| vendor_product | about.labels.key/value (veraltet) additional.fields |
UDM-Ereignistypen
In der folgenden Tabelle sind die Splunk-Tags und die entsprechenden UDM-Ereignistypen aufgeführt:
| Datenmodell | Splunk-Tags | UDM-Ereignistyp |
|---|---|---|
| Benachrichtigungen | Benachrichtigung | STATUS_UPDATE |
| Authentifizierung | Authentifizierung | USER_UNCATEGORIZED |
| Zertifikat | Zertifikat | NETWORK_UNCATEGORIZED |
| Ändern | Ändern | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Datenzugriff | Daten, Zugriff | USER_RESOURCE_ACCESS |
| Datenbanken | Datenbank | USER_RESOURCE_ACCESS |
| Datenbanken | database, instance, stats | STATUS_UPDATE |
| Datenbanken | database, instance, status | STATUS_UPDATE |
| Datenbanken | Datenbank, Instanz, Sperre | STATUS_UPDATE |
| Datenbanken | Datenbank, Abfrage | STATUS_UPDATE |
| Datenbanken | Datenbank, Abfrage, Tablespace | STATUS_UPDATE |
| Datenbanken | database, query, stats | STATUS_UPDATE |
| Schutz vor Datenverlust | dlp, incident | SCAN_UNCATEGORIZED |
| EMAIL_UNCATEGORIZED | ||
| E-Mail, Zustellung | EMAIL_TRANSACTION | |
| Endpunkt | listening, port | SERVICE_UNSPECIFIED |
| Endpunkt | Verarbeitung, Bericht | PROCESS_UNCATEGORIZED |
| Endpunkt | service, report | SERVICE_UNSPECIFIED |
| Endpunkt | endpoint, filesystem | FILE_UNCATEGORIZED |
| Endpunkt | endpoint, registry | REGISTRY_UNCATEGORIZED |
| Ereignissignatur | track_event_signature | STATUS_UPDATE |
| Inter-Process Messaging | Messaging | STATUS_UPDATE |
| Einbruchserkennung | ids, attack | SERVICE_UNSPECIFIED |
| Inventar | inventory | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Java Virtual Machine (JVM) | jvm | SYSTEM_AUDIT_LOG_UNCATEGORIZED |
| Malware | Malware | STATUS_UPDATE |
| Netzwerkauflösung(DNS) | Netzwerk, Auflösung, DNS | NETWORK_DNS |
| Netzwerksitzungen | network, session | NETWORK_CONNECTION |
| Netzwerksitzungen | network, session, dhcp | NETWORK_DHCP |
| Netzwerkverkehr | Netzwerk, Kommunikation | NETWORK_CONNECTION |
| Leistung | Leistung | SERVICE_UNSPECIFIED |
| Splunk-Audit-Logs | modaction | STATUS_UPDATE |
| Ticketverwaltung | Ticketfunktionen | STATUS_UPDATE |
| Ticketverwaltung | ticketing, change | STATUS_UPDATE |
| Updates | update | STATUS_UPDATE |
| Sicherheitslücken | report, vulnerabilites | SCAN_UNCATEGORIZED |
| Web | web | NETWORK_UNCATEGORIZED |
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten