VMware ESXi-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
Übersicht
Dieser Parser extrahiert Felder aus VMware ESXi-Syslog- und JSON-formatierten Protokollen. Es normalisiert die Vielfalt der ESXi-Protokollformate in einer gemeinsamen Struktur und füllt dann UDM-Felder basierend auf extrahierten Werten aus. Dabei werden auch spezielle Fälle für verschiedene ESXi-Dienste wie crond, named und sshd mithilfe von Include-Dateien verarbeitet.
Hinweise
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für VMWare ESX.
- Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei für die Datenaufnahmeauthentifizierung herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet. - Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh. - Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem der Bindplane-Agent installiert ist.
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsStarten Sie den Bindplane-Agent mit dem folgenden Befehl neu, um die Änderungen anzuwenden:
sudo systemctl bindplane restart
syslog-ESXi-Firewallregel zulassen
- Gehen Sie zu Netzwerk > Firewallregeln.
- Suchen Sie in der Spalte Name nach syslog.
- Klicken Sie auf Einstellungen bearbeiten.
- Aktualisieren Sie den
tcp- oderudp-Port, den Sie in Bindplane konfiguriert haben. - Klicken Sie auf Speichern.
- Lassen Sie die syslog-Zeile ausgewählt.
- Wählen Sie Aktionen > Aktivieren aus.
Syslog mit dem vSphere-Client aus VMware ESXi exportieren
- Melden Sie sich mit dem vSphere-Client bei Ihrem ESXi-Host an.
- Gehen Sie zu Verwalten > System > Erweiterte Einstellungen.
- Suchen Sie in der Liste nach dem Schlüssel Syslog.global.logHost.
- Wählen Sie den Schlüssel aus und klicken Sie auf Option bearbeiten.
- Geben Sie
<protocol>://<destination_IP>:<port>ein.- Ersetzen Sie
<protocol>durchtcp. Wenn Sie den Bindplane-Agent für die Verwendung von UDP konfiguriert haben, geben Sieudpein. - Ersetzen Sie
<destination_IP>durch die IP-Adresse Ihres Bindplane-Agents. - Ersetzen Sie
<port>durch den zuvor im Bindplane-Agenten eingerichteten Port.
- Ersetzen Sie
- Klicken Sie auf Speichern.
Optional: Syslog über SSH aus VMware ESXi exportieren
- Stellen Sie eine SSH-Verbindung zu Ihrem ESXi-Host her.
- Führen Sie den Befehl
esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>aus.- Ersetzen Sie
<protocol>durchtcp. Wenn Sie den Bindplane-Agent für die Verwendung von UDP konfiguriert haben, geben Sieudpein. - Ersetzen Sie
<destination_IP>durch die IP-Adresse Ihres Bindplane-Agents. - Ersetzen Sie
<port>durch den zuvor in Bindplane eingerichteten Port.
- Ersetzen Sie
- Starten Sie den syslog-Dienst neu, indem Sie den Befehl
/etc/init.d/syslog restarteingeben.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
@fields.alias |
event.idm.read_only_udm.principal.cloud.project.alias |
Wird direkt aus dem Feld @fields.alias des JSON-Logs zugeordnet. |
@fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
Wird direkt aus dem Feld @fields.company_name des JSON-Logs zugeordnet. |
@fields.facility |
event.idm.read_only_udm.principal.resource.type |
Wird direkt aus dem Feld @fields.facility des JSON-Logs zugeordnet. |
@fields.host |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Wird direkt aus dem Feld @fields.host des JSON-Logs zugeordnet. |
@fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
Wird direkt aus dem Feld @fields.privatecloud_id des JSON-Logs zugeordnet. |
@fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
Wird direkt aus dem Feld @fields.privatecloud_name des JSON-Logs zugeordnet. |
@fields.procid |
event.idm.read_only_udm.principal.process.pid |
Wird direkt aus dem Feld @fields.procid des JSON-Logs zugeordnet. |
@fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
Wird direkt aus dem Feld @fields.region_id des JSON-Logs zugeordnet. |
@fields.severity |
event.idm.read_only_udm.security_result.severity |
Wird aus dem Feld @fields.severity des JSON-Logs zugeordnet. Wenn der Wert „info“ oder ähnlich lautet, wird er „INFORMATIONSWEISEND“ zugeordnet. |
@timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Wird mit dem date-Filter aus dem Feld @timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt. |
adapter |
event.idm.read_only_udm.target.resource.name |
Direkt aus dem Feld adapter des Rohlogs zugeordnet. |
action |
event.idm.read_only_udm.security_result.action |
Direkt aus dem Feld action des Rohlogs zugeordnet. Es werden Werte wie „ALLOW“ und „BLOCK“ verwendet. |
action |
event.idm.read_only_udm.security_result.action_details |
Direkt aus dem Feld action des Rohlogs zugeordnet. Es werden Werte wie „Weiterleiten“ verwendet. |
administrative_domain |
event.idm.read_only_udm.principal.administrative_domain |
Direkt aus dem Feld administrative_domain des Rohlogs zugeordnet. |
agent.hostname |
event.idm.read_only_udm.intermediary.hostname |
Wird direkt aus dem Feld agent.hostname des JSON-Logs zugeordnet. |
agent.id |
event.idm.read_only_udm.intermediary.asset.id |
Wird direkt aus dem Feld agent.id des JSON-Logs zugeordnet. |
agent.name |
event.idm.read_only_udm.intermediary.asset.name |
Wird direkt aus dem Feld agent.name des JSON-Logs zugeordnet. |
agent.type |
event.idm.read_only_udm.intermediary.asset.type |
Wird direkt aus dem Feld agent.type des JSON-Logs zugeordnet. |
agent.version |
event.idm.read_only_udm.intermediary.asset.version |
Wird direkt aus dem Feld agent.version des JSON-Logs zugeordnet. |
app_name |
event.idm.read_only_udm.principal.application |
Direkt aus dem Feld app_name des Rohlogs zugeordnet. |
app_protocol |
event.idm.read_only_udm.network.application_protocol |
Direkt aus dem Feld app_protocol des Rohlogs zugeordnet. Wenn der Wert mit „http“ übereinstimmt (ohne Berücksichtigung der Groß- und Kleinschreibung), wird ihm „HTTP“ zugewiesen. |
application |
event.idm.read_only_udm.principal.application |
Wird direkt aus dem Feld program des JSON-Logs zugeordnet. |
cmd |
event.idm.read_only_udm.target.process.command_line |
Direkt aus dem Feld cmd des Rohlogs zugeordnet. |
collection_time |
event.idm.read_only_udm.metadata.event_timestamp |
Die Nanosekunden aus dem Feld collection_time werden den Sekunden aus dem Feld collection_time hinzugefügt, um die event_timestamp zu erstellen. |
data |
event.idm.read_only_udm.metadata.description |
Die rohe Protokollnachricht wird analysiert und relevante Teile werden extrahiert, um das Beschreibungsfeld zu füllen. |
descrip |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld descrip des Rohlogs zugeordnet. |
dns.answers.data |
event.idm.read_only_udm.network.dns.answers.data |
Wird direkt aus dem Feld dns.answers.data des JSON-Logs zugeordnet. |
dns.answers.ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
Wird direkt aus dem Feld dns.answers.ttl des JSON-Logs zugeordnet. |
dns.answers.type |
event.idm.read_only_udm.network.dns.answers.type |
Wird direkt aus dem Feld dns.answers.type des JSON-Logs zugeordnet. |
dns.questions.name |
event.idm.read_only_udm.network.dns.questions.name |
Wird direkt aus dem Feld dns.questions.name des JSON-Logs zugeordnet. |
dns.questions.type |
event.idm.read_only_udm.network.dns.questions.type |
Wird direkt aus dem Feld dns.questions.type des JSON-Logs zugeordnet. |
dns.response |
event.idm.read_only_udm.network.dns.response |
Wird direkt aus dem Feld dns.response des JSON-Logs zugeordnet. |
ecs.version |
event.idm.read_only_udm.metadata.product_version |
Wird direkt aus dem Feld ecs.version des JSON-Logs zugeordnet. |
event_message |
event.idm.read_only_udm.metadata.description |
Wird direkt aus dem Feld event_message des JSON-Logs zugeordnet. |
event_metadata |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Das Feld event_metadata wird analysiert, um den Wert opID zu extrahieren. Diesem wird dann „opID:“ vorangestellt und er wird dem UDM zugeordnet. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Wird direkt aus dem Feld event_type des JSON-Logs zugeordnet. |
filepath |
event.idm.read_only_udm.target.file.full_path |
Direkt aus dem Feld filepath des Rohlogs zugeordnet. |
fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
Wird direkt aus dem Feld fields.company_name des JSON-Logs zugeordnet. |
fields.facility |
event.idm.read_only_udm.principal.resource.type |
Wird direkt aus dem Feld fields.facility des JSON-Logs zugeordnet. |
fields.host |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Wird direkt aus dem Feld fields.host des JSON-Logs zugeordnet. |
fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
Wird direkt aus dem Feld fields.privatecloud_id des JSON-Logs zugeordnet. |
fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
Wird direkt aus dem Feld fields.privatecloud_name des JSON-Logs zugeordnet. |
fields.procid |
event.idm.read_only_udm.principal.process.pid |
Wird direkt aus dem Feld fields.procid des JSON-Logs zugeordnet. |
fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
Wird direkt aus dem Feld fields.region_id des JSON-Logs zugeordnet. |
fields.severity |
event.idm.read_only_udm.security_result.severity |
Wird aus dem Feld fields.severity des JSON-Logs zugeordnet. Wenn der Wert „info“ oder ähnlich lautet, wird er „INFORMATIONSWEISEND“ zugeordnet. |
host.architecture |
event.idm.read_only_udm.principal.asset.architecture |
Wird direkt aus dem Feld host.architecture des JSON-Logs zugeordnet. |
host.containerized |
event.idm.read_only_udm.principal.asset.containerized |
Wird direkt aus dem Feld host.containerized des JSON-Logs zugeordnet. |
host.hostname |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Wird direkt aus dem Feld host.hostname des JSON-Logs zugeordnet. |
host.id |
event.idm.read_only_udm.principal.asset.id |
Wird direkt aus dem Feld host.id des JSON-Logs zugeordnet. |
host.ip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Wird direkt aus dem Feld host.ip des JSON-Logs zugeordnet. |
host.mac |
event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.principal.asset.mac |
Wird direkt aus dem Feld host.mac des JSON-Logs zugeordnet. |
host.name |
event.idm.read_only_udm.principal.asset.name |
Wird direkt aus dem Feld host.name des JSON-Logs zugeordnet. |
host.os.codename |
event.idm.read_only_udm.principal.asset.os.codename |
Wird direkt aus dem Feld host.os.codename des JSON-Logs zugeordnet. |
host.os.family |
event.idm.read_only_udm.principal.asset.os.family |
Wird direkt aus dem Feld host.os.family des JSON-Logs zugeordnet. |
host.os.kernel |
event.idm.read_only_udm.principal.asset.os.kernel |
Wird direkt aus dem Feld host.os.kernel des JSON-Logs zugeordnet. |
host.os.name |
event.idm.read_only_udm.principal.asset.os.name |
Wird direkt aus dem Feld host.os.name des JSON-Logs zugeordnet. |
host.os.platform |
event.idm.read_only_udm.principal.asset.os.platform |
Wird direkt aus dem Feld host.os.platform des JSON-Logs zugeordnet. |
host.os.version |
event.idm.read_only_udm.principal.asset.os.version |
Wird direkt aus dem Feld host.os.version des JSON-Logs zugeordnet. |
iporhost |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld iporhost des Rohlogs zugeordnet. |
iporhost |
event.idm.read_only_udm.principal.ip |
Wird direkt aus dem Feld iporhost des Rohlogs zugeordnet, wenn es sich um eine IP-Adresse handelt. |
iporhost1 |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld iporhost1 des Rohlogs zugeordnet. |
kv_data1 |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Das Feld kv_data1 wird analysiert, um den Wert opID oder sub zu extrahieren. Dieser wird dann mit „opID:“ bzw. „sub:“ vorangestellt und dem UDM zugeordnet. |
kv_msg |
event.idm.read_only_udm.additional.fields |
Das Feld kv_msg wird als Schlüssel/Wert-Paare geparst und dem Array additional_fields im UDM hinzugefügt. |
kv_msg1 |
event.idm.read_only_udm.additional.fields |
Das Feld kv_msg1 wird als Schlüssel/Wert-Paare geparst und dem Array additional_fields im UDM hinzugefügt. |
lbdn |
event.idm.read_only_udm.target.hostname |
Direkt aus dem Feld lbdn des Rohlogs zugeordnet. |
log.source.address |
event.idm.read_only_udm.observer.hostname |
Wird direkt aus dem Feld log.source.address des JSON-Logs zugeordnet, wobei nur der Hostname berücksichtigt wird. |
log_event.original |
event.idm.read_only_udm.metadata.description |
Wird direkt aus dem Feld event.original des JSON-Logs zugeordnet. |
log_level |
event.idm.read_only_udm.security_result.severity_details |
Wird direkt aus dem Feld log_level des JSON-Logs zugeordnet. |
logstash.collect.host |
event.idm.read_only_udm.observer.hostname |
Wird direkt aus dem Feld logstash.collect.host des JSON-Logs zugeordnet. |
logstash.collect.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Wird mit dem date-Filter aus dem Feld logstash.collect.timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt. |
logstash.ingest.host |
event.idm.read_only_udm.intermediary.hostname |
Wird direkt aus dem Feld logstash.ingest.host des JSON-Logs zugeordnet. |
logstash.ingest.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Wird mit dem date-Filter aus dem Feld logstash.ingest.timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt. |
logstash.process.host |
event.idm.read_only_udm.intermediary.hostname |
Wird direkt aus dem Feld logstash.process.host des JSON-Logs zugeordnet. |
logstash.process.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Wird mit dem date-Filter aus dem Feld logstash.process.timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt. |
log_type |
event.idm.read_only_udm.metadata.log_type |
Direkt aus dem Feld log_type des Rohlogs zugeordnet. |
message |
event.idm.read_only_udm.metadata.description |
Wird direkt aus dem Feld message des JSON-Logs zugeordnet. |
message_to_process |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld message_to_process des Rohlogs zugeordnet. |
metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Wird zuerst auf „GENERIC_EVENT“ gesetzt und dann möglicherweise basierend auf dem geparsten service oder anderen Protokollinhalten überschrieben. Mögliche Werte sind z. B. PROCESS_LAUNCH, NETWORK_CONNECTION oder USER_LOGIN. |
metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Direkt aus dem Feld process_id oder prod_event_type des Rohlogs zugeordnet. |
metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
Direkt aus dem Feld event_id des Rohlogs zugeordnet. |
metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Legen Sie „ESX“ fest. |
metadata.product_version |
event.idm.read_only_udm.metadata.product_version |
Wird direkt aus dem Feld version des JSON-Logs zugeordnet. |
metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Legen Sie „VMWARE“ fest. |
msg |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld msg des Rohlogs zugeordnet. |
network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Legen Sie „DNS“ fest, wenn die service „benannt“ ist, „HTTPS“, wenn der Port 443 ist, oder „HTTP“, wenn die service mit „http“ übereinstimmt.app_protocol |
network.direction |
event.idm.read_only_udm.network.direction |
Wird anhand von Keywords im Rohprotokoll bestimmt, z. B. „IN“, „OUT“ oder „->“. Kann INBOUND oder OUTBOUND sein. |
network.http.method |
event.idm.read_only_udm.network.http.method |
Direkt aus dem Feld method des Rohlogs zugeordnet. |
network.http.parsed_user_agent |
event.idm.read_only_udm.network.http.parsed_user_agent |
Wird mit dem Filter convert aus dem Feld useragent geparst. |
network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Direkt aus dem Feld prin_url des Rohlogs zugeordnet. |
network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Wird direkt aus dem Feld status_code des Rohlogs zugeordnet und in eine Ganzzahl konvertiert. |
network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Direkt aus dem Feld useragent des Rohlogs zugeordnet. |
network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Wird anhand von Keywords im Rohprotokoll bestimmt, z. B. „TCP“ oder „UDP“. |
network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Wird direkt aus dem Feld rec_bytes des Rohlogs zugeordnet und in eine positive Ganzzahl konvertiert. |
network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Wird aus dem Feld message_to_process des Rohlogs extrahiert. |
network.session_id |
event.idm.read_only_udm.network.session_id |
Direkt aus dem Feld session des Rohlogs zugeordnet. |
pid |
event.idm.read_only_udm.target.process.parent_process.pid |
Direkt aus dem Feld pid des Rohlogs zugeordnet. |
pid |
event.idm.read_only_udm.principal.process.pid |
Wird direkt aus dem Feld pid des JSON-Logs zugeordnet. |
pid |
event.idm.read_only_udm.target.process.pid |
Direkt aus dem Feld pid des Rohlogs zugeordnet. |
port |
event.idm.read_only_udm.target.port |
Wird direkt aus dem Feld port des JSON-Logs zugeordnet. |
principal.application |
event.idm.read_only_udm.principal.application |
Direkt aus dem Feld app_name oder service des Rohlogs zugeordnet. |
principal.asset.hostname |
event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld principal_hostname oder iporhost des Rohlogs zugeordnet. |
principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
Direkt aus dem Feld syslog_ip des Rohlogs zugeordnet. |
principal.hostname |
event.idm.read_only_udm.principal.hostname |
Direkt aus dem Feld principal_hostname oder iporhost des Rohlogs zugeordnet. |
principal.ip |
event.idm.read_only_udm.principal.ip |
Direkt aus dem Feld iporhost oder syslog_ip des Rohlogs zugeordnet. |
principal.port |
event.idm.read_only_udm.principal.port |
Direkt aus dem Feld srcport des Rohlogs zugeordnet. |
principal.process.command_line |
event.idm.read_only_udm.principal.process.command_line |
Direkt aus dem Feld cmd des Rohlogs zugeordnet. |
principal.process.parent_process.pid |
event.idm.read_only_udm.principal.process.parent_process.pid |
Direkt aus dem Feld parent_pid des Rohlogs zugeordnet. |
principal.process.pid |
event.idm.read_only_udm.principal.process.pid |
Direkt aus dem Feld process_id des Rohlogs zugeordnet. |
principal.process.product_specific_process_id |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Wird aus dem Feld message_to_process des Rohlogs extrahiert und hat in der Regel das Präfix „opID:“. |
principal.url |
event.idm.read_only_udm.principal.url |
Direkt aus dem Feld prin_url des Rohlogs zugeordnet. |
principal.user.company_name |
event.idm.read_only_udm.principal.user.company_name |
Wird direkt aus dem Feld fields.company_name des JSON-Logs zugeordnet. |
principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Direkt aus dem Feld USER des Rohlogs zugeordnet. |
priority |
event.idm.read_only_udm.metadata.product_event_type |
Direkt aus dem Feld priority des Rohlogs zugeordnet. |
program |
event.idm.read_only_udm.principal.application |
Wird direkt aus dem Feld program des JSON-Logs zugeordnet. |
qname |
event.idm.read_only_udm.network.dns.questions.name |
Direkt aus dem Feld qname des Rohlogs zugeordnet. |
response_data |
event.idm.read_only_udm.network.dns.answers.data |
Direkt aus dem Feld response_data des Rohlogs zugeordnet. |
response_rtype |
event.idm.read_only_udm.network.dns.answers.type |
Direkt aus dem Feld response_rtype des Rohlogs zugeordnet. Der numerische DNS-Eintragstyp wird extrahiert. |
response_ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
Direkt aus dem Feld response_ttl des Rohlogs zugeordnet. |
rtype |
event.idm.read_only_udm.network.dns.questions.type |
Direkt aus dem Feld rtype des Rohlogs zugeordnet. Der numerische DNS-Eintragstyp wird extrahiert. |
security_result.action |
event.idm.read_only_udm.security_result.action |
Wird anhand von Keywords oder Status im Rohprotokoll ermittelt. Kann ALLOW oder BLOCK sein. |
security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Aus der Rohprotokollnachricht extrahiert, um mehr Kontext zur ausgeführten Aktion bereitzustellen. |
security_result.category |
event.idm.read_only_udm.security_result.category |
Legen Sie POLICY_VIOLATION fest, wenn das Protokoll eine Übereinstimmung mit einer Firewallregel anzeigt. |
security_result.description |
event.idm.read_only_udm.security_result.description |
Aus der Roh-Lognachricht extrahiert, um mehr Kontext zum Sicherheitsergebnis zu erhalten. |
security_result.rule_id |
event.idm.read_only_udm.security_result.rule_id |
Direkt aus dem Feld rule_id des Rohlogs zugeordnet. |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
Wird anhand von Keywords im Rohprotokoll bestimmt, z. B. „info“, „warnung“ oder „fehler“. Kann INFORMATIONAL, LOW, MEDIUM oder HIGH sein. |
security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
Direkt aus dem Feld severity oder log.syslog.severity.name des Rohlogs zugeordnet. |
security_result.summary |
event.idm.read_only_udm.security_result.summary |
Aus der Roh-Lognachricht extrahiert. Bietet eine kurze Zusammenfassung des Sicherheitsergebnisses. |
service |
event.idm.read_only_udm.principal.application |
Direkt aus dem Feld service des Rohlogs zugeordnet. |
source |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld source des Rohlogs zugeordnet. |
src.file.full_path |
event.idm.read_only_udm.src.file.full_path |
Aus der Roh-Lognachricht extrahiert. |
src.hostname |
event.idm.read_only_udm.src.hostname |
Direkt aus dem Feld src.hostname des Rohlogs zugeordnet. |
src_ip |
event.idm.read_only_udm.principal.ip |
Direkt aus dem Feld src_ip des Rohlogs zugeordnet. |
src_mac_address |
event.idm.read_only_udm.principal.mac |
Direkt aus dem Feld src_mac_address des Rohlogs zugeordnet. |
srcport |
event.idm.read_only_udm.principal.port |
Direkt aus dem Feld srcport des Rohlogs zugeordnet. |
srcip |
event.idm.read_only_udm.principal.ip |
Direkt aus dem Feld srcip des Rohlogs zugeordnet. |
subtype |
event.idm.read_only_udm.metadata.event_type |
Direkt aus dem Feld subtype des Rohlogs zugeordnet. |
tags |
event.idm.read_only_udm.metadata.tags |
Wird direkt aus dem Feld tags des JSON-Logs zugeordnet. |
target.application |
event.idm.read_only_udm.target.application |
Direkt aus dem Feld target_application des Rohlogs zugeordnet. |
target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Aus der Roh-Lognachricht extrahiert. |
target.hostname |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
Direkt aus dem Feld target_hostname oder iporhost des Rohlogs zugeordnet. |
target.ip |
event.idm.read_only_udm.target.ip |
Direkt aus dem Feld target_ip des Rohlogs zugeordnet. |
target.mac |
event.idm.read_only_udm.target.mac |
Direkt aus dem Feld target_mac_address des Rohlogs zugeordnet. |
target.port |
event.idm.read_only_udm.target.port |
Direkt aus dem Feld target_port des Rohlogs zugeordnet. |
target.process.command_line |
event.idm.read_only_udm.target.process.command_line |
Direkt aus dem Feld cmd des Rohlogs zugeordnet. |
target.process.parent_process.pid |
event.idm.read_only_udm.target.process.parent_process.pid |
Direkt aus dem Feld parent_pid des Rohlogs zugeordnet. |
target.process.pid |
event.idm.read_only_udm.target.process.pid |
Direkt aus dem Feld pid des Rohlogs zugeordnet. |
target.process.product_specific_process_id |
event.idm.read_only_udm.target.process.product_specific_process_id |
Wird aus dem Feld message_to_process des Rohlogs extrahiert und hat in der Regel das Präfix „opID:“. |
target.resource.name |
event.idm.read_only_udm.target.resource.name |
Direkt aus dem Feld adapter des Rohlogs zugeordnet. |
target.resource.resource_type |
event.idm.read_only_udm.target.resource.resource_type |
Legen Sie VIRTUAL_MACHINE fest, wenn das Protokoll einen VM-Vorgang angibt. |
target.resource.type |
event.idm.read_only_udm.target.resource.type |
Setzen Sie den Wert auf SETTING, wenn das Protokoll eine Einstellungsänderung anzeigt. |
target.user.userid |
event.idm.read_only_udm.target.user.userid |
Direkt aus dem Feld target_username oder user1 des Rohlogs zugeordnet. |
timestamp |
event.timestamp |
Wird mit dem Filter date aus dem Feld timestamp oder data des Logs geparst und in ein Zeitstempelobjekt umgewandelt. |
type |
event.idm.read_only_udm.additional.fields |
Das Feld type des Protokolls wird dem Array additional_fields im UDM mit dem Schlüssel „LogType“ hinzugefügt. |
user1 |
event.idm.read_only_udm.target.user.userid |
Direkt aus dem Feld user1 des Rohlogs zugeordnet. |
useragent |
event.idm.read_only_udm.network.http.user_agent |
Direkt aus dem Feld useragent des Rohlogs zugeordnet. |
vmw_cluster |
event.idm.read_only_udm.target.resource.name |
Direkt aus dem Feld vmw_cluster des Rohlogs zugeordnet. |
vmw_datacenter |
event.idm.read_only_udm.target.resource.name |
Direkt aus dem Feld vmw_datacenter des Rohlogs zugeordnet. |
vmw_host |
event.idm.read_only_udm.target.ip |
Direkt aus dem Feld vmw_host des Rohlogs zugeordnet. |
vmw_object_id |
event.idm.read_only_udm.target.resource.id |
Direkt aus dem Feld vmw_object_id des Rohlogs zugeordnet. |
vmw_product |
event.idm.read_only_udm.target.application |
Direkt aus dem Feld vmw_product des Rohlogs zugeordnet. |
vmw_vcenter |
event.idm.read_only_udm.target.cloud.availability_zone |
Direkt aus dem Feld vmw_vcenter des Rohlogs zugeordnet. |
vmw_vcenter_id |
event.idm.read_only_udm.target.cloud.availability_zone.id |
Direkt aus dem Feld vmw_vcenter_id des Rohlogs zugeordnet. |
vmw_vr_ops_appname |
event.idm.read_only_udm.target.application |
Direkt aus dem Feld vmw_vr_ops_appname des Rohlogs zugeordnet. |
vmw_vr_ops_clustername |
event.idm.read_only_udm.target.resource.name |
Direkt aus dem Feld vmw_vr_ops_clustername des Rohlogs zugeordnet. |
vmw_vr_ops_clusterrole |
event.idm.read_only_udm.target.resource.type |
Direkt aus dem Feld vmw_vr_ops_clusterrole des Rohlogs zugeordnet. |
Änderungen
2024-06-03
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
2024-05-09
- Unterstützung für ein neues Muster für „snmpd“- und „Rhttpproxy“-Protokolle hinzugefügt.
- „prod_event_type“ wurde in „metadata.product_event_type“ umgewandelt.
- „context“ wurde „additional.fields“ zugeordnet.
2024-02-07
- Fehlerkorrektur:
- Es wurden neue Grok-Muster hinzugefügt, um die SYSLOG-Protokolle zu unterstützen, die verworfen werden.
- „newVersion“ und „filter“ wurden auf „security_result.detection_fields“ zugeordnet.
- „description“ wurde in „security_result.description“ geändert.
2023-10-10
- Die folgenden JSON-Schlüsselnamen wurden mit der Funktion „gsub“ geändert:
- „service“ in „serv“.
- „event“ in „log_event“.
- „@timestamp“ zu „timestamp“.
- „@version“ in „version“.
- Es wurden neue Grok-Muster hinzugefügt, um die JSON-Protokolle mit neuen Feldern zu verarbeiten.
- „Zeitstempel“ wurde mit den Formaten „RFC 3339“ und „TIMESTAMP_ISO8601“ abgeglichen.
- „host.hostname“ wurde „principal.hostname“ zugeordnet.
- „host.ip“ wurde auf „principal.ip“ zugeordnet.
- „type“, „serv.type“, „log.syslog.facility.code“, „log.syslog.facility.name“, „log.syslog.severity.code“, „log.syslog.severity.name“ und „log.syslog.priority“ wurden in „additional.fields“ zugeordnet.
- „process.name“ wurde „service“ zugeordnet.
- „version“ wurde mit „metadata.product_version“ abgeglichen.
- „severity“ wurde zu „security_result.severity“ zugeordnet.
2023-09-25
- Es wurden neue Grok-Muster hinzugefügt, um den neuen SYSLOG-Typ für VMware ESXi zu verarbeiten.
- „app_name“ wurde „principal.application“ zugeordnet.
- „severity“ wurde zu „security_result.severity“ zugeordnet.
2023-07-17
- Fehlerkorrektur: „username“ wurde auf „target.user.userid“ umgestellt.
- „pid“ wurde auf „principal.process.pid“ zugeordnet.
- „description“ wurde „metadata.description“ zugeordnet.
2023-06-12
- Fehlerkorrektur: Die Zuordnung von „session“ für den Typ „vmauthd“ wurde geändert. Sie wurde „network.session_id“ zugeordnet.
2022-09-01
- Bugfix: principal.namespace wurde von seinem hartcodierten Wert abgekoppelt.
2022-08-24
- Verbesserung: Neuer Datumstyp zum Parsen von Datumsangaben im Format „TT.MM.JJJJTHH:mm:s“ hinzugefügt.
2022-08-03
- Verbesserung: Grok-Muster für die Verarbeitung von Protokollen mit den Diensten „hostd“, „vmon“ und „vrops“ hinzugefügt.
2022-07-26
- Verbesserung –
- wobei „service“ mit „Rhttpproxy“ übereinstimmt
- Die Zuordnung für „principal.namespace“ wurde von „namespace“ zu „WALMART“ geändert.
- „namespace“ wurde „additional.fields“ zugeordnet.
- wobei „service“ gleich „crond“ ist
- „parent_pid“ wurde auf „target.process.parent_process.pid“ zugeordnet.
2022-07-05
- Fehlerbehebung: Der Parser wurde aktualisiert, damit er den Zeitstempel im Format „JJJJ-MM-TTThh:mm:ss.SSSS“ erkennt.
2022-06-13
- Verbesserung: Die Grok-Muster wurden geändert/hinzugefügt, um die Protokolle mit den Diensten hostd, sendmail, sshd, sudo, vmcad, vmon, vpxd und vrops zu verarbeiten.
- Fehlerkorrektur: „metadata.event_type“ für „vmauthd“-Protokolle von „USER_LOGIN“ in „GENERIC_EVENT“ geändert.
2022-05-02
- Fehlerbehebung: Gemäß den Anforderungen der Nutzer wurde die Zuordnung „target.hostname“ in „principal.ip“ für Protokolle geändert, deren Dienst „Hostd“ ist.
2022-04-13
- Verbesserung: Die Logs mit den folgenden Dienstnamen wurden analysiert: hostd-probe, vmkernel, vmkwarning, Fdm, netcpa, root, hpHelper, snmpd usw.
- „logstash.ingest.timestamp“ wurde „metadata.ingested_timestamp“ zugeordnet,
- logstash.ingest.host und logstash.process.host in intermediary.hostname,
- logstash.collect.host zu observer.hostname.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten