Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VMware Airwatch

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log VMware Airwatch (VMware Workspace ONE UEM) ke Google Security Operations menggunakan Bindplane. Parser mengekstrak data peristiwa keamanan dari log dalam berbagai format (SYSLOG + KV, CEF). Pertama-tama, pesan log akan diurai menggunakan serangkaian pola Grok khusus untuk struktur log AirWatch, lalu pasangan nilai kunci akan diekstrak dari data peristiwa dan dipetakan ke kolom Model Data Terpadu (UDM), mengategorikan peristiwa dan memperkayanya dengan informasi kontekstual untuk analisis keamanan.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika berjalan di belakang proxy, pastikan port firewall terbuka
Akses istimewa ke VMware Airwatch

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'AIRWATCH'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk VMware Airwatch (VMware Workspace ONE UEM)

Login ke UI web VMware AirWatch.
Buka Monitor > Laporan dan Analisis > Peristiwa > Syslog.
Berikan detail konfigurasi berikut:
- Syslog Integration: Pilih Enabled.
- Nama host: Masukkan alamat IP agen Bindplane.
- Protocol: Pilih UDP.
- Port: Masukkan nomor port agen Bindplane.
- Tag Pesan: Masukkan Airwatch.
- Konten Pesan: Biarkan sebagai default.
Buka tab Lanjutan.
Berikan detail konfigurasi berikut:
- Console Events: Pilih Aktifkan.
- Pilih Peristiwa Konsol yang Akan Dikirim ke Syslog: Klik Pilih Semua.
- Peristiwa Perangkat: Pilih Aktifkan.
- Pilih Peristiwa Perangkat yang Akan Dikirim ke Syslog: Klik Pilih Semua.
Klik Simpan.
KlikUji Koneksi.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
`AdminAccount`	principal.user.userid	Nilai diambil dari kolom AdminAccount di log mentah.
`Application`	target.application	Nilai diambil dari kolom Aplikasi di log mentah.
`ApplicationUUID`	additional.fields[].value.string_value	Nilai diambil dari kolom ApplicationUUID dalam log mentah. Kuncinya ditetapkan ke "ApplicationUUID".
`BytesReceived`	network.received_bytes	Nilai diambil dari kolom BytesReceived di log mentah.
`Device`	target.hostname	Nilai diambil dari kolom Perangkat di log mentah.
`DeviceEventLogDescription`	metadata.description	Nilai diambil dari kolom DeviceEventLogDescription dalam log mentah.
`Enrollment User`	principal.user.userid	Nilai diambil dari kolom Pengguna Pendaftaran di log mentah saat event_name adalah salah satu dari: AppCatalogLaunch, InstallApplicationConfirmed, InstallProfileConfirmed, BreakMDMConfirmed, DeviceOperatingSystemChanged, RemoveProfileConfirmed, CertificateIssued, CompromisedStatusChanged, AppListSampleRefused, CertificateListSampleRefused, DeviceInformationRefused, ProfileListRefused, SecurityInformation, SecureChannelCheckIn, SecurityInformationConfirmed, StartACMConfirmed, DeviceAttributeDeviceMCCModified, DeviceAttributePhoneNumberModified, AvailableOSUpdatesList, AvailableOsUpdatesConfirmed.
`Event Category`	additional.fields[].value.string_value	Nilai diambil dari kolom Kategori Peristiwa dalam log mentah. Kuncinya ditetapkan ke "Kategori Peristiwa".
`Event Module`	additional.fields[].value.string_value	Nilai diambil dari kolom Modul Peristiwa dalam log mentah. Kuncinya ditetapkan ke "Event Module".
`Event Source`	additional.fields[].value.string_value	Nilai diambil dari kolom Sumber Peristiwa dalam log mentah. Kuncinya ditetapkan ke "Sumber Peristiwa".
`Event Timestamp`	metadata.event_timestamp.seconds	Nilai diambil dari kolom Stempel Waktu Peristiwa di log mentah.
`FriendlyName`	target.hostname	Nilai diambil dari kolom FriendlyName di log mentah.
`GroupManagementData`	security_result.description	Nilai diambil dari kolom GroupManagementData di log mentah.
`Hmac`	additional.fields[].value.string_value	Nilai diambil dari kolom Hmac di log mentah. Kuncinya ditetapkan ke "Hmac".
`LoginSessionID`	network.session_id	Nilai diambil dari kolom LoginSessionID di log mentah.
`MessageText`	metadata.description	Nilai diambil dari kolom MessageText di log mentah.
`OriginatingOrganizationGroup`	principal.user.group_identifiers	Nilai diambil dari kolom OriginatingOrganizationGroup di log mentah.
`OwnershipType`	additional.fields[].value.string_value	Nilai diambil dari kolom OwnershipType di log mentah. Kuncinya ditetapkan ke "OwnershipType".
`Profile`	target.resource.name	Nilai diambil dari kolom Profil di log mentah.
`ProfileName`	target.resource.name	Nilai diambil dari kolom ProfileName di log mentah.
`Request Url`	target.url	Nilai diambil dari kolom URL Permintaan di log mentah.
`SmartGroupName`	target.group.group_display_name	Nilai diambil dari kolom SmartGroupName di log mentah.
`Tags`	additional.fields[].value.string_value	Nilai diambil dari kolom Tag dalam log mentah. Kuncinya ditetapkan ke "Tag".
`User`	target.user.userid	Nilai diambil dari kolom Pengguna dalam log mentah saat event_name adalah SSPUserLoginAttemptFailed.
`event_name`	metadata.product_event_type	Nilai diambil dari kolom Peristiwa dalam log mentah.
	extensions.auth.type	Nilai ditetapkan ke "SSO" jika event_name adalah salah satu dari: AdminUserLoggedIn, SSPUserLoginAttemptFailed, AdminUserLoggedOut, AuthTokenIssued, AuthTokenRevoked.
	is_alert	Nilai ditetapkan ke "true" jika event_name adalah salah satu dari: ComplianceStatusChanged, DeviceProfileTypeBlocked, ComplianceActionTaken.
	is_significant	Nilai ditetapkan ke "true" jika event_name adalah ComplianceStatusChanged.
	is_significant	Nilai ditetapkan ke "false" jika event_name adalah DeviceProfileTypeBlocked.
	metadata.event_type	Nilai ditetapkan ke "GENERIC_EVENT" jika event_name adalah SecureChannelCheckIn.
	metadata.event_type	Nilai ditetapkan ke "GROUP_CREATION" jika event_name adalah ApplicationGroupCreated.
	metadata.event_type	Nilai ditetapkan ke "GROUP_DELETION" jika event_name adalah SmartGroupsDeleted.
	metadata.event_type	Nilai ditetapkan ke "GROUP_MODIFICATION" jika event_name adalah salah satu dari: SmartGroupsModified, ApplicationGroupAssignmentModified.
	metadata.event_type	Nilai ditetapkan ke "NETWORK_CONNECTION" jika kolom event_data berisi "session" dan kolom hash_value diakhiri dengan "org".
	metadata.event_type	Nilai ditetapkan ke "NETWORK_CONNECTION" jika kolom principal_hostname atau src_ip tidak kosong dan kolom target_hostname atau target_ip tidak kosong.
	metadata.event_type	Nilai ditetapkan ke "SETTING_DELETION" jika event_name adalah Revoked dan kolom event_data tidak berisi "Certificate".
	metadata.event_type	Nilai ditetapkan ke "SETTING_MODIFICATION" jika event_name adalah salah satu dari: DeviceAttributeDeviceMCCModified, DeviceAttributePhoneNumberModified, ComplianceStatusChanged, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked.
	metadata.event_type	Nilai ditetapkan ke "STATUS_UNCATEGORIZED" jika event_name adalah salah satu dari: AppListSampleRefused, CertificateListSampleRefused, DeviceInformationRefused, ProfileListRefused, SecurityInformation, StartACMRequested, AvailableOSUpdatesList, AvailableOsUpdatesConfirmed, AvailableOsUpdatesRequested.
	metadata.event_type	Nilai ditetapkan ke "STATUS_UPDATE" jika event_name adalah salah satu dari: BreakMDMRequested, CertificateIssued, CompromisedStatusChanged, SecureChannelCheckIn, EditDevice.
	metadata.event_type	Nilai ditetapkan ke "USER_LOGOUT" jika event_name adalah salah satu dari: AdminUserLoggedOut, AuthTokenIssued, AuthTokenRevoked.
	metadata.event_type	Nilai ditetapkan ke "USER_LOGIN" jika event_name adalah salah satu dari: AdminUserLoggedIn, SSPUserLoginAttemptFailed.
	metadata.event_type	Nilai ditetapkan ke "USER_RESOURCE_ACCESS" jika kolom request_url tidak kosong.
	metadata.event_type	Nilai ditetapkan ke "USER_RESOURCE_ACCESS" jika event_name adalah AppCatalogLaunch.
	metadata.event_type	Nilai ditetapkan ke "USER_RESOURCE_CREATION" jika event_name adalah salah satu dari: ApplicationDownload, EnrollmentComplete, InstallApplicationConfirmed, InstallProfileConfirmed.
	metadata.event_type	Nilai ditetapkan ke "USER_RESOURCE_DELETION" jika event_name adalah salah satu dari: BreakMDMConfirmed, RemoveProfileConfirmed.
	metadata.event_type	Nilai ditetapkan ke "USER_RESOURCE_UPDATE_CONTENT" jika event_name adalah salah satu dari: ProfileModified, ProfilePublished, ProfileSetToInactive, ProfileVersionAdded, RestrictionPayloadModified, DeviceOperatingSystemChanged.
	metadata.event_type	Nilai ditetapkan ke "USER_RESOURCE_UPDATE_PERMISSIONS" jika event_name adalah EULAAccepted.
	metadata.event_type	Nilai ditetapkan ke "USER_UNCATEGORIZED" jika event_name adalah salah satu dari: Revoked, ComplianceNotificationSent, DeleteDeviceRequested, DeviceClearPasscodeRequested, DeviceWipeRequested, InstallApplicationRequested, ApplicationInstallOnDeviceRequested, RemoveApplicationRequested, SendMessageRequested, AddMissingUserCompletedEvent, AddMissingUserFailureEvent, ApplicationAdded, ApplicationDeleted, ApplicationRemoveFromDeviceRequested, ApplicationModified, ApplicationPublished, ApplicationPublishFailed, ApplicationPublishStarted, ApplicationVersionAdded, SyncGroupCompletedEvent, SyncGroupFailureEvent, SearchMissingUserCompleteEvent, SyncAdminFailure, SyncUserCompletedEvent, SyncUserFailureEvent, UserDeleted, HealthAttestationCertificateRequestConfirmed, WindowsDeviceCheckInMode, SampleResponseListReceived, HealthAttestationCertificateRequested, WindowsInformationConfirmed, RemoteManagement, HealthAttestationServerToServerSyncReqConfirmed, ScepThumbprintSampleConfirmed, HealthAttestationSampleRequestConfirmed, HealthAttestationServerToServerSyncRequested, HealthAttestationServerToServerSyncRequestFailed, WipeRequest, InstallApplicationFailed, OwnershipChanged, WipeConfirmed, FreshDeviceCreatedInDeviceState, UserSetToInactive, ExistingDeviceUpdatedInDeviceState, HealthAttestationCertificateRequestFailed, AppleOsXmdmDeviceTokenUpdate, DeviceUnenrolled, ScheduleOsUpdateResults, UserRoleAssignmentModified, UserModified, AppleTokenUpdateComplete, UserEnrollmentTokenCreated, ScheduleOsUpdatesConfirmed, OsUpdateStatusRequested, InstallProfileConfirmed, TagAssignmentChanged.
	metadata.log_type	Nilai ditetapkan ke "AIRWATCH".
	metadata.product_name	Nilai ditetapkan ke "AirWatch".
	metadata.vendor_name	Nilai ditetapkan ke "VMWare".
	network.application_protocol	Nilai ditetapkan ke "HTTP" jika kolom application_protocol berisi "HTTP".
	network.http.method	Nilai diambil dari kolom method_url di log mentah.
	network.http.referral_url	Nilai diambil dari kolom referral_url di log mentah.
	network.http.response_code	Nilai diambil dari kolom http_status di log mentah.
	network.http.user_agent	Nilai diambil dari kolom user_agent di log mentah.
	network.ip_protocol	Nilai ditetapkan ke "TCP" jika kolom protokol adalah "TCP".
	network.ip_protocol	Nilai ditetapkan ke "UDP" jika kolom protokol adalah "UDP".
	principal.administrative_domain	Nilai diambil dari kolom domain dalam log mentah saat event_name adalah salah satu dari: SmartGroupsDeleted, SmartGroupsModified, ProfileModified, ProfilePublished, ProfileSetToInactive, DeleteDeviceRequested, DeviceEnterpriseWipeRequested, InstallProfileRequested, RemoveProfileRequested, FindDeviceRequested, InstallApplicationRequested, ApplicationInstallOnDeviceRequested, RemoveApplicationRequested, SendMessageRequested, ApplicationAdded, ApplicationDeleted, ApplicationRemoveFromDeviceRequested, ApplicationModified, ApplicationPublished, ApplicationPublishFailed, ApplicationPublishStarted, ApplicationVersionAdded, UserDeleted.
	principal.hostname	Nilai diambil dari kolom nama host dalam log mentah.
	principal.ip	Nilai diambil dari kolom sys_ip di log mentah saat event_name adalah salah satu dari: AuthTokenIssued, AuthTokenRevoked, BreakMDMRequested, ComplianceNotificationSent, DeleteDeviceRequested, Revoked, ComplianceStatusChanged, CompliancePolicyModified, ProfileModified, ProfilePublished, ProfileSetToInactive, SmartGroupsDeleted, ApplicationDownload, EnrollmentComplete, EULAAccepted, StartACMRequested, DeviceEnterpriseWipeRequested, InstallApplicationRequested, InstallProfileRequested, RemoveProfileRequested, ApplicationInstallOnDeviceRequested, FindDeviceRequested, RemoveApplicationRequested, SendMessageRequested, AvailableOsUpdatesRequested, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked, AddMissingUserCompletedEvent, AddMissingUserFailureEvent, ApplicationAdded, ApplicationDeleted, ApplicationGroupAssignmentModified, ApplicationGroupCreated, ApplicationRemoveFromDeviceRequested, ApplicationModified, ApplicationPublished, ApplicationPublishFailed, ApplicationPublishStarted, ApplicationVersionAdded, DeviceWipeRequested, ProfileVersionAdded, RestrictionPayloadModified, SmartGroupsModified, SyncGroupCompletedEvent, SyncGroupFailureEvent, SearchMissingUserCompleteEvent, SyncAdminFailure, SyncUserCompletedEvent, SyncUserFailureEvent, UserDeleted, HealthAttestationCertificateRequestConfirmed, WindowsDeviceCheckInMode, SampleResponseListReceived, HealthAttestationCertificateRequested, WindowsInformationConfirmed, RemoteManagement, HealthAttestationServerToServerSyncReqConfirmed, ScepThumbprintSampleConfirmed, HealthAttestationSampleRequestConfirmed, HealthAttestationServerToServerSyncRequested, HealthAttestationServerToServerSyncRequestFailed, WipeRequest, InstallApplicationFailed, OwnershipChanged, WipeConfirmed, FreshDeviceCreatedInDeviceState, UserSetToInactive, ExistingDeviceUpdatedInDeviceState, HealthAttestationCertificateRequestFailed, AppleOsXmdmDeviceTokenUpdate, DeviceUnenrolled, ScheduleOsUpdateResults, UserRoleAssignmentModified, UserModified, ComplianceActionTaken, AppleTokenUpdateComplete, UserEnrollmentTokenCreated, ScheduleOsUpdatesConfirmed, OsUpdateStatusRequested.
	principal.process.pid	Nilai diambil dari kolom process_id di log mentah.
	principal.user.group_identifiers	Nilai diambil dari kolom auth_group dalam log mentah saat event_name adalah salah satu dari: AuthTokenIssued, AuthTokenRevoked.
	principal.user.user_display_name	Nilai diambil dari kolom user_info di log mentah.
	principal.user.userid	Nilai diambil dari kolom user_name di log mentah saat event_name adalah salah satu dari: AuthTokenIssued, AuthTokenRevoked, BreakMDMRequested, ComplianceNotificationSent, DeleteDeviceRequested, Revoked, ComplianceStatusChanged, CompliancePolicyModified, ProfileModified, ProfilePublished, ProfileSetToInactive, SmartGroupsDeleted, ApplicationDownload, EnrollmentComplete, EULAAccepted, StartACMRequested, DeviceEnterpriseWipeRequested, InstallApplicationRequested, InstallProfileRequested, RemoveProfileRequested, ApplicationInstallOnDeviceRequested, FindDeviceRequested, RemoveApplicationRequested, SendMessageRequested, AvailableOsUpdatesRequested, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked, AddMissingUserCompletedEvent, AddMissingUserFailureEvent, ApplicationAdded, ApplicationDeleted, ApplicationGroupAssignmentModified, ApplicationGroupCreated, ApplicationRemoveFromDeviceRequested, ApplicationModified, ApplicationPublished, ApplicationPublishFailed, ApplicationPublishStarted, ApplicationVersionAdded, DeviceWipeRequested, ProfileVersionAdded, RestrictionPayloadModified, SmartGroupsModified, SyncGroupCompletedEvent, SyncGroupFailureEvent, SearchMissingUserCompleteEvent, SyncAdminFailure, SyncUserCompletedEvent, SyncUserFailureEvent, UserDeleted, HealthAttestationCertificateRequestConfirmed, WindowsDeviceCheckInMode, SampleResponseListReceived, HealthAttestationCertificateRequested, WindowsInformationConfirmed, RemoteManagement, HealthAttestationServerToServerSyncReqConfirmed, ScepThumbprintSampleConfirmed, HealthAttestationSampleRequestConfirmed, HealthAttestationServerToServerSyncRequested, HealthAttestationServerToServerSyncRequestFailed, WipeRequest, InstallApplicationFailed, OwnershipChanged, WipeConfirmed, FreshDeviceCreatedInDeviceState, UserSetToInactive, ExistingDeviceUpdatedInDeviceState, HealthAttestationCertificateRequestFailed, AppleOsXmdmDeviceTokenUpdate, DeviceUnenrolled, ScheduleOsUpdateResults, UserRoleAssignmentModified, UserModified, ComplianceActionTaken, AppleTokenUpdateComplete, UserEnrollmentTokenCreated, ScheduleOsUpdatesConfirmed, OsUpdateStatusRequested, EditDevice.
	security_result.action	Nilai ditetapkan ke "ALLOW" jika event_name adalah DeviceProfileTypeUnblocked.
	security_result.action	Nilai ditetapkan ke "BLOCK" jika event_name adalah salah satu dari: DeviceProfileTypeBlocked, SyncAdminFailure, SyncGroupFailureEvent, SyncUserFailureEvent.
	security_result.category	Nilai ditetapkan ke "AUTH_VIOLATION" jika event_name adalah SSPUserLoginAttemptFailed.
	security_result.category	Nilai ditetapkan ke "POLICY_VIOLATION" jika event_name adalah salah satu dari: ComplianceStatusChanged, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked, ComplianceNotificationSent, CompromisedStatusChanged.
	security_result.category_details	Nilai diambil dari kolom Kategori Peristiwa dalam log mentah.
	security_result.description	Nilai diambil dari kolom des dalam log mentah saat kolom deskripsi berisi alamat IP.
	security_result.description	Nilai diambil dari kolom deskripsi dalam log mentah saat kolom deskripsi tidak berisi alamat IP.
	security_result.description	Nilai ditetapkan ke "unexpected error occurred, check logs for details" saat event_name adalah SyncAdminFailure.
	security_result.description	Nilai diambil dari kolom GroupManagementData dalam log mentah saat event_name adalah MergeGroupCompletedEvent.
	security_result.summary	Nilai diambil dari kolom ringkasan dalam log mentah.
	target.administrative_domain	Nilai diambil dari kolom domain dalam log mentah saat event_name adalah CompliancePolicyModified.
	target.application	Nilai diambil dari kolom app_name dalam log mentah saat event_name adalah salah satu dari: InstallApplicationRequested, ApplicationInstallOnDeviceRequested, RemoveApplicationRequested, ApplicationAdded, ApplicationDeleted, ApplicationRemoveFromDeviceRequested, ApplicationModified, ApplicationPublished, ApplicationPublishFailed, ApplicationPublishStarted, ApplicationVersionAdded, ApplicationDownload, InstallApplicationConfirmed.
	target.asset_id	Nilai ditetapkan ke "device_serial_number:device_udid" jika event_name adalah DeleteDeviceRequested dan kolom device_serial_number serta device_udid tidak kosong.
	target.group.group_display_name	Nilai diambil dari kolom ApplicationGroup dalam log mentah saat event_name adalah salah satu dari: ApplicationGroupAssignmentModified, ApplicationGroupCreated.
	target.hostname	Nilai diambil dari kolom Perangkat dalam log mentah saat event_name adalah DeviceLocationGroupChanged.
	target.ip	Nilai diambil dari kolom sys_ip dalam log mentah saat event_name adalah SSPUserLoginAttemptFailed.
	target.ip	Nilai diambil dari kolom target_ip dalam log mentah saat event_name adalah salah satu dari: CompliancePolicyModified, CertificateIssued, CompromisedStatusChanged, AppListSampleRefused, CertificateListSampleRefused, DeviceInformationRefused, ProfileListRefused, SecurityInformation, SecureChannelCheckIn, SecurityInformationConfirmed, StartACMConfirmed, AdminUserLoggedIn, AdminUserLoggedOut, AvailableOSUpdatesList, AvailableOsUpdatesConfirmed.
	target.port	Nilai diambil dari kolom target_port dalam log mentah.
	target.resource.name	Nilai ditetapkan ke "SETTING" jika event_name adalah salah satu dari: Revoked, CompliancePolicyModified, ComplianceStatusChanged, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked.
	target.resource.type	Nilai ditetapkan ke "APP" jika event_name adalah ApplicationDownload.
	target.resource.type	Nilai ditetapkan ke "DEVICE" jika event_name adalah EnrollmentComplete.
	target.resource.type	Nilai ditetapkan ke "EULA" jika event_name adalah EULAAccepted.
	target.resource.type	Nilai ditetapkan ke "OS" jika event_name adalah DeviceOperatingSystemChanged.
	target.resource.type	Nilai ditetapkan ke "PROFILE" jika event_name adalah InstallProfileConfirmed.
	target.resource.type	Nilai ditetapkan ke "SETTING" jika event_name adalah salah satu dari: Revoked, CompliancePolicyModified, ComplianceStatusChanged, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked.
	target.url	Nilai diambil dari kolom target_url di log mentah saat kolom method_url tidak kosong.
	target.user.group_identifiers	Nilai diambil dari kolom auth_group dalam log mentah saat event_name adalah salah satu dari: AuthTokenIssued, AuthTokenRevoked.
	target.user.userid	Nilai diambil dari kolom group_user di log mentah saat event_name adalah salah satu dari: AddMissingUserCompletedEvent, AddMissingUserFailureEvent.
	target.user.userid	Nilai diambil dari kolom enrollment_user dalam log mentah saat event_name adalah salah satu dari: BreakMDMRequested, ComplianceNotificationSent, DeleteDeviceRequested, Revoked, ComplianceStatusChanged, ApplicationDownload, EnrollmentComplete, EULAAccepted, StartACMRequested, DeviceEnterpriseWipeRequested, InstallApplicationRequested, InstallProfileRequested, RemoveProfileRequested, ApplicationInstallOnDeviceRequested, FindDeviceRequested, RemoveApplicationRequested, SendMessageRequested, AuthTokenIssued, AuthTokenRevoked, InstallApplicationConfirmed, InstallProfileConfirmed, BreakMDMConfirmed, DeviceOperatingSystemChanged, RemoveProfileConfirmed, DeviceAttributeDeviceMCCModified, DeviceAttributePhoneNumberModified, AvailableOsUpdatesRequested, DeviceProfileTypeBlocked, DeviceProfileTypeUnblocked, ApplicationRemoveFromDeviceRequested, DeviceClearPasscodeRequested, DeviceWipeRequested.
	target.user.userid	Nilai diambil dari kolom Pengguna dalam log mentah saat event_name adalah UserDeleted.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.