VMware ESXi-Protokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Felder aus VMware ESXi-Syslog- und JSON-formatierten Protokollen. Es normalisiert die Vielfalt der ESXi-Protokollformate in einer gemeinsamen Struktur und füllt dann UDM-Felder basierend auf extrahierten Werten aus. Dabei werden auch spezielle Fälle für verschiedene ESXi-Dienste wie crond, named und sshd mithilfe von Include-Dateien verarbeitet.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte auf VMWare ESX.
  • Sie benötigen Windows 2012 SP2 oder höher oder einen Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Führen Sie für die Linux-Installation das folgende Script aus: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
      tcplog:
        # Replace the below port <54525> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Starten Sie den BindPlane-Agent mit dem folgenden Befehl neu, um die Änderungen anzuwenden: sudo systemctl bindplane restart

syslog-ESXi-Firewallregel zulassen

  1. Gehen Sie zu Netzwerk > Firewallregeln.
  2. Suchen Sie in der Spalte Name nach syslog.
  3. Klicken Sie auf Einstellungen bearbeiten.
  4. Aktualisieren Sie den in BindPlane konfigurierten tcp- oder udp-Port.
  5. Klicken Sie auf Speichern.
  6. Lassen Sie die syslog-Zeile ausgewählt.
  7. Wählen Sie Aktionen > Aktivieren aus.

Syslog mit dem vSphere-Client aus VMware ESXi exportieren

  1. Melden Sie sich mit dem vSphere-Client bei Ihrem ESXi-Host an.
  2. Gehen Sie zu Verwalten > System > Erweiterte Einstellungen.
  3. Suchen Sie in der Liste nach dem Schlüssel Syslog.global.logHost.
  4. Wählen Sie den Schlüssel aus und klicken Sie auf Option bearbeiten.
  5. Geben Sie <protocol>://<destination_IP>:<port> ein.
    • Ersetzen Sie <protocol> durch tcp. Wenn Sie BindPlane für die Verwendung von UDP konfiguriert haben, geben Sie udp ein.
    • Ersetzen Sie <destination_IP> durch die IP-Adresse Ihres BindPlane-Agents.
    • Ersetzen Sie <port> durch den zuvor in BindPlane eingerichteten Port.
  6. Klicken Sie auf Speichern.

Optional: Syslog über SSH aus VMware ESXi exportieren

  1. Stellen Sie eine SSH-Verbindung zu Ihrem ESXi-Host her.
  2. Führen Sie den Befehl esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port> aus.
    • Ersetzen Sie <protocol> durch tcp. Wenn Sie BindPlane für die Verwendung von UDP konfiguriert haben, geben Sie udp ein.
    • Ersetzen Sie <destination_IP> durch die IP-Adresse Ihres BindPlane-Agents.
    • Ersetzen Sie <port> durch den zuvor in BindPlane eingerichteten Port.
  3. Starten Sie den syslog-Dienst neu, indem Sie den Befehl /etc/init.d/syslog restart eingeben.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
@fields.alias event.idm.read_only_udm.principal.cloud.project.alias Wird direkt aus dem Feld @fields.alias des JSON-Logs zugeordnet.
@fields.company_name event.idm.read_only_udm.principal.user.company_name Wird direkt aus dem Feld @fields.company_name des JSON-Logs zugeordnet.
@fields.facility event.idm.read_only_udm.principal.resource.type Wird direkt aus dem Feld @fields.facility des JSON-Logs zugeordnet.
@fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Wird direkt aus dem Feld @fields.host des JSON-Logs zugeordnet.
@fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Wird direkt aus dem Feld @fields.privatecloud_id des JSON-Logs zugeordnet.
@fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Wird direkt aus dem Feld @fields.privatecloud_name des JSON-Logs zugeordnet.
@fields.procid event.idm.read_only_udm.principal.process.pid Wird direkt aus dem Feld @fields.procid des JSON-Logs zugeordnet.
@fields.region_id event.idm.read_only_udm.principal.location.country_or_region Wird direkt aus dem Feld @fields.region_id des JSON-Logs zugeordnet.
@fields.severity event.idm.read_only_udm.security_result.severity Wird aus dem Feld @fields.severity des JSON-Logs zugeordnet. Wenn der Wert „info“ oder ähnlich lautet, wird er „INFORMATIONSWEISEND“ zugeordnet.
@timestamp event.idm.read_only_udm.metadata.event_timestamp Wird mit dem Filter date aus dem Feld @timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt.
adapter event.idm.read_only_udm.target.resource.name Direkt aus dem Feld adapter des Rohlogs zugeordnet.
action event.idm.read_only_udm.security_result.action Direkt aus dem Feld action des Rohlogs zugeordnet. Es werden Werte wie „ALLOW“ und „BLOCK“ verwendet.
action event.idm.read_only_udm.security_result.action_details Direkt aus dem Feld action des Rohlogs zugeordnet. Es werden Werte wie „Weiterleiten“ verwendet.
administrative_domain event.idm.read_only_udm.principal.administrative_domain Direkt aus dem Feld administrative_domain des Rohlogs zugeordnet.
agent.hostname event.idm.read_only_udm.intermediary.hostname Wird direkt aus dem Feld agent.hostname des JSON-Logs zugeordnet.
agent.id event.idm.read_only_udm.intermediary.asset.id Wird direkt aus dem Feld agent.id des JSON-Logs zugeordnet.
agent.name event.idm.read_only_udm.intermediary.asset.name Wird direkt aus dem Feld agent.name des JSON-Logs zugeordnet.
agent.type event.idm.read_only_udm.intermediary.asset.type Wird direkt aus dem Feld agent.type des JSON-Logs zugeordnet.
agent.version event.idm.read_only_udm.intermediary.asset.version Wird direkt aus dem Feld agent.version des JSON-Logs zugeordnet.
app_name event.idm.read_only_udm.principal.application Direkt aus dem Feld app_name des Rohlogs zugeordnet.
app_protocol event.idm.read_only_udm.network.application_protocol Direkt aus dem Feld app_protocol des Rohlogs zugeordnet. Wenn der Wert mit „http“ übereinstimmt (ohne Berücksichtigung der Groß- und Kleinschreibung), wird ihm „HTTP“ zugewiesen.
application event.idm.read_only_udm.principal.application Wird direkt aus dem Feld program des JSON-Logs zugeordnet.
cmd event.idm.read_only_udm.target.process.command_line Direkt aus dem Feld cmd des Rohlogs zugeordnet.
collection_time event.idm.read_only_udm.metadata.event_timestamp Die Nanosekunden aus dem Feld collection_time werden den Sekunden aus dem Feld collection_time hinzugefügt, um event_timestamp zu erstellen.
data event.idm.read_only_udm.metadata.description Die rohe Protokollnachricht wird analysiert und relevante Teile werden extrahiert, um das Beschreibungsfeld zu füllen.
descrip event.idm.read_only_udm.metadata.description Direkt aus dem Feld descrip des Rohlogs zugeordnet.
dns.answers.data event.idm.read_only_udm.network.dns.answers.data Wird direkt aus dem Feld dns.answers.data des JSON-Logs zugeordnet.
dns.answers.ttl event.idm.read_only_udm.network.dns.answers.ttl Wird direkt aus dem Feld dns.answers.ttl des JSON-Logs zugeordnet.
dns.answers.type event.idm.read_only_udm.network.dns.answers.type Wird direkt aus dem Feld dns.answers.type des JSON-Logs zugeordnet.
dns.questions.name event.idm.read_only_udm.network.dns.questions.name Wird direkt aus dem Feld dns.questions.name des JSON-Logs zugeordnet.
dns.questions.type event.idm.read_only_udm.network.dns.questions.type Wird direkt aus dem Feld dns.questions.type des JSON-Logs zugeordnet.
dns.response event.idm.read_only_udm.network.dns.response Wird direkt aus dem Feld dns.response des JSON-Logs zugeordnet.
ecs.version event.idm.read_only_udm.metadata.product_version Wird direkt aus dem Feld ecs.version des JSON-Logs zugeordnet.
event_message event.idm.read_only_udm.metadata.description Wird direkt aus dem Feld event_message des JSON-Logs zugeordnet.
event_metadata event.idm.read_only_udm.principal.process.product_specific_process_id Das Feld event_metadata wird analysiert, um den Wert opID zu extrahieren. Diesem wird dann „opID:“ vorangestellt und er wird dem UDM zugeordnet.
event_type event.idm.read_only_udm.metadata.event_type Wird direkt aus dem Feld event_type des JSON-Logs zugeordnet.
filepath event.idm.read_only_udm.target.file.full_path Direkt aus dem Feld filepath des Rohlogs zugeordnet.
fields.company_name event.idm.read_only_udm.principal.user.company_name Wird direkt aus dem Feld fields.company_name des JSON-Logs zugeordnet.
fields.facility event.idm.read_only_udm.principal.resource.type Wird direkt aus dem Feld fields.facility des JSON-Logs zugeordnet.
fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Wird direkt aus dem Feld fields.host des JSON-Logs zugeordnet.
fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Wird direkt aus dem Feld fields.privatecloud_id des JSON-Logs zugeordnet.
fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Wird direkt aus dem Feld fields.privatecloud_name des JSON-Logs zugeordnet.
fields.procid event.idm.read_only_udm.principal.process.pid Wird direkt aus dem Feld fields.procid des JSON-Logs zugeordnet.
fields.region_id event.idm.read_only_udm.principal.location.country_or_region Wird direkt aus dem Feld fields.region_id des JSON-Logs zugeordnet.
fields.severity event.idm.read_only_udm.security_result.severity Wird aus dem Feld fields.severity des JSON-Logs zugeordnet. Wenn der Wert „info“ oder ähnlich lautet, wird er „INFORMATIONSWEISEND“ zugeordnet.
host.architecture event.idm.read_only_udm.principal.asset.architecture Wird direkt aus dem Feld host.architecture des JSON-Logs zugeordnet.
host.containerized event.idm.read_only_udm.principal.asset.containerized Wird direkt aus dem Feld host.containerized des JSON-Logs zugeordnet.
host.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Wird direkt aus dem Feld host.hostname des JSON-Logs zugeordnet.
host.id event.idm.read_only_udm.principal.asset.id Wird direkt aus dem Feld host.id des JSON-Logs zugeordnet.
host.ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Wird direkt aus dem Feld host.ip des JSON-Logs zugeordnet.
host.mac event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.principal.asset.mac Wird direkt aus dem Feld host.mac des JSON-Logs zugeordnet.
host.name event.idm.read_only_udm.principal.asset.name Wird direkt aus dem Feld host.name des JSON-Logs zugeordnet.
host.os.codename event.idm.read_only_udm.principal.asset.os.codename Wird direkt aus dem Feld host.os.codename des JSON-Logs zugeordnet.
host.os.family event.idm.read_only_udm.principal.asset.os.family Wird direkt aus dem Feld host.os.family des JSON-Logs zugeordnet.
host.os.kernel event.idm.read_only_udm.principal.asset.os.kernel Wird direkt aus dem Feld host.os.kernel des JSON-Logs zugeordnet.
host.os.name event.idm.read_only_udm.principal.asset.os.name Wird direkt aus dem Feld host.os.name des JSON-Logs zugeordnet.
host.os.platform event.idm.read_only_udm.principal.asset.os.platform Wird direkt aus dem Feld host.os.platform des JSON-Logs zugeordnet.
host.os.version event.idm.read_only_udm.principal.asset.os.version Wird direkt aus dem Feld host.os.version des JSON-Logs zugeordnet.
iporhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld iporhost des Rohlogs zugeordnet.
iporhost event.idm.read_only_udm.principal.ip Wird direkt aus dem Feld iporhost des Rohlogs zugeordnet, wenn es sich um eine IP-Adresse handelt.
iporhost1 event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld iporhost1 des Rohlogs zugeordnet.
kv_data1 event.idm.read_only_udm.principal.process.product_specific_process_id Das Feld kv_data1 wird analysiert, um den Wert opID oder sub zu extrahieren. Dieser wird dann mit „opID:“ bzw. „sub:“ vorangestellt und dem UDM zugeordnet.
kv_msg event.idm.read_only_udm.additional.fields Das Feld kv_msg wird als Schlüssel/Wert-Paare geparst und dem Array additional_fields im UDM hinzugefügt.
kv_msg1 event.idm.read_only_udm.additional.fields Das Feld kv_msg1 wird als Schlüssel/Wert-Paare geparst und dem Array additional_fields im UDM hinzugefügt.
lbdn event.idm.read_only_udm.target.hostname Direkt aus dem Feld lbdn des Rohlogs zugeordnet.
log.source.address event.idm.read_only_udm.observer.hostname Wird direkt aus dem Feld log.source.address des JSON-Logs zugeordnet, wobei nur der Hostname berücksichtigt wird.
log_event.original event.idm.read_only_udm.metadata.description Wird direkt aus dem Feld event.original des JSON-Logs zugeordnet.
log_level event.idm.read_only_udm.security_result.severity_details Wird direkt aus dem Feld log_level des JSON-Logs zugeordnet.
logstash.collect.host event.idm.read_only_udm.observer.hostname Wird direkt aus dem Feld logstash.collect.host des JSON-Logs zugeordnet.
logstash.collect.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Wird mit dem Filter date aus dem Feld logstash.collect.timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt.
logstash.ingest.host event.idm.read_only_udm.intermediary.hostname Wird direkt aus dem Feld logstash.ingest.host des JSON-Logs zugeordnet.
logstash.ingest.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Wird mit dem Filter date aus dem Feld logstash.ingest.timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt.
logstash.process.host event.idm.read_only_udm.intermediary.hostname Wird direkt aus dem Feld logstash.process.host des JSON-Logs zugeordnet.
logstash.process.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Wird mit dem Filter date aus dem Feld logstash.process.timestamp des Protokolls geparst und in ein Zeitstempelobjekt umgewandelt.
log_type event.idm.read_only_udm.metadata.log_type Direkt aus dem Feld log_type des Rohlogs zugeordnet.
message event.idm.read_only_udm.metadata.description Wird direkt aus dem Feld message des JSON-Logs zugeordnet.
message_to_process event.idm.read_only_udm.metadata.description Direkt aus dem Feld message_to_process des Rohlogs zugeordnet.
metadata.event_type event.idm.read_only_udm.metadata.event_type Wird zuerst auf „GENERIC_EVENT“ gesetzt und dann möglicherweise basierend auf dem geparsten service oder anderen Protokollinhalten überschrieben. Mögliche Werte sind z. B. PROCESS_LAUNCH, NETWORK_CONNECTION oder USER_LOGIN.
metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Direkt aus dem Feld process_id oder prod_event_type des Rohlogs zugeordnet.
metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Direkt aus dem Feld event_id des Rohlogs zugeordnet.
metadata.product_name event.idm.read_only_udm.metadata.product_name Legen Sie „ESX“ fest.
metadata.product_version event.idm.read_only_udm.metadata.product_version Wird direkt aus dem Feld version des JSON-Logs zugeordnet.
metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Legen Sie „VMWARE“ fest.
msg event.idm.read_only_udm.metadata.description Direkt aus dem Feld msg des Rohlogs zugeordnet.
network.application_protocol event.idm.read_only_udm.network.application_protocol Legen Sie „DNS“ fest, wenn die service „benannt“ ist, „HTTPS“, wenn der Port 443 ist, oder „HTTP“, wenn die service mit „http“ übereinstimmt.app_protocol
network.direction event.idm.read_only_udm.network.direction Wird anhand von Keywords im Rohprotokoll bestimmt, z. B. „IN“, „OUT“ oder „->“. Kann INBOUND oder OUTBOUND sein.
network.http.method event.idm.read_only_udm.network.http.method Direkt aus dem Feld method des Rohlogs zugeordnet.
network.http.parsed_user_agent event.idm.read_only_udm.network.http.parsed_user_agent Wird mit dem Filter convert aus dem Feld useragent geparst.
network.http.referral_url event.idm.read_only_udm.network.http.referral_url Direkt aus dem Feld prin_url des Rohlogs zugeordnet.
network.http.response_code event.idm.read_only_udm.network.http.response_code Wird direkt aus dem Feld status_code des Rohlogs zugeordnet und in eine Ganzzahl konvertiert.
network.http.user_agent event.idm.read_only_udm.network.http.user_agent Direkt aus dem Feld useragent des Rohlogs zugeordnet.
network.ip_protocol event.idm.read_only_udm.network.ip_protocol Wird anhand von Keywords im Rohprotokoll bestimmt, z. B. „TCP“ oder „UDP“.
network.received_bytes event.idm.read_only_udm.network.received_bytes Wird direkt aus dem Feld rec_bytes des Rohlogs zugeordnet und in eine positive Ganzzahl konvertiert.
network.sent_bytes event.idm.read_only_udm.network.sent_bytes Wird aus dem Feld message_to_process des Rohlogs extrahiert.
network.session_id event.idm.read_only_udm.network.session_id Direkt aus dem Feld session des Rohlogs zugeordnet.
pid event.idm.read_only_udm.target.process.parent_process.pid Direkt aus dem Feld pid des Rohlogs zugeordnet.
pid event.idm.read_only_udm.principal.process.pid Wird direkt aus dem Feld pid des JSON-Logs zugeordnet.
pid event.idm.read_only_udm.target.process.pid Direkt aus dem Feld pid des Rohlogs zugeordnet.
port event.idm.read_only_udm.target.port Wird direkt aus dem Feld port des JSON-Logs zugeordnet.
principal.application event.idm.read_only_udm.principal.application Direkt aus dem Feld app_name oder service des Rohlogs zugeordnet.
principal.asset.hostname event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld principal_hostname oder iporhost des Rohlogs zugeordnet.
principal.asset.ip event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld syslog_ip des Rohlogs zugeordnet.
principal.hostname event.idm.read_only_udm.principal.hostname Direkt aus dem Feld principal_hostname oder iporhost des Rohlogs zugeordnet.
principal.ip event.idm.read_only_udm.principal.ip Direkt aus dem Feld iporhost oder syslog_ip des Rohlogs zugeordnet.
principal.port event.idm.read_only_udm.principal.port Direkt aus dem Feld srcport des Rohlogs zugeordnet.
principal.process.command_line event.idm.read_only_udm.principal.process.command_line Direkt aus dem Feld cmd des Rohlogs zugeordnet.
principal.process.parent_process.pid event.idm.read_only_udm.principal.process.parent_process.pid Direkt aus dem Feld parent_pid des Rohlogs zugeordnet.
principal.process.pid event.idm.read_only_udm.principal.process.pid Direkt aus dem Feld process_id des Rohlogs zugeordnet.
principal.process.product_specific_process_id event.idm.read_only_udm.principal.process.product_specific_process_id Wird aus dem Feld message_to_process des Rohlogs extrahiert und hat in der Regel das Präfix „opID:“.
principal.url event.idm.read_only_udm.principal.url Direkt aus dem Feld prin_url des Rohlogs zugeordnet.
principal.user.company_name event.idm.read_only_udm.principal.user.company_name Wird direkt aus dem Feld fields.company_name des JSON-Logs zugeordnet.
principal.user.userid event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld USER des Rohlogs zugeordnet.
priority event.idm.read_only_udm.metadata.product_event_type Direkt aus dem Feld priority des Rohlogs zugeordnet.
program event.idm.read_only_udm.principal.application Wird direkt aus dem Feld program des JSON-Logs zugeordnet.
qname event.idm.read_only_udm.network.dns.questions.name Direkt aus dem Feld qname des Rohlogs zugeordnet.
response_data event.idm.read_only_udm.network.dns.answers.data Direkt aus dem Feld response_data des Rohlogs zugeordnet.
response_rtype event.idm.read_only_udm.network.dns.answers.type Direkt aus dem Feld response_rtype des Rohlogs zugeordnet. Der numerische DNS-Eintragstyp wird extrahiert.
response_ttl event.idm.read_only_udm.network.dns.answers.ttl Direkt aus dem Feld response_ttl des Rohlogs zugeordnet.
rtype event.idm.read_only_udm.network.dns.questions.type Direkt aus dem Feld rtype des Rohlogs zugeordnet. Der numerische DNS-Eintragstyp wird extrahiert.
security_result.action event.idm.read_only_udm.security_result.action Wird anhand von Keywords oder Status im Rohprotokoll ermittelt. Kann ALLOW oder BLOCK sein.
security_result.action_details event.idm.read_only_udm.security_result.action_details Aus der Rohprotokollnachricht extrahiert, um mehr Kontext zur ausgeführten Aktion bereitzustellen.
security_result.category event.idm.read_only_udm.security_result.category Legen Sie POLICY_VIOLATION fest, wenn das Protokoll eine Übereinstimmung mit einer Firewallregel anzeigt.
security_result.description event.idm.read_only_udm.security_result.description Aus der Roh-Lognachricht extrahiert, um mehr Kontext zum Sicherheitsergebnis zu erhalten.
security_result.rule_id event.idm.read_only_udm.security_result.rule_id Direkt aus dem Feld rule_id des Rohlogs zugeordnet.
security_result.severity event.idm.read_only_udm.security_result.severity Wird anhand von Keywords im Rohprotokoll bestimmt, z. B. „info“, „warnung“ oder „fehler“. Kann INFORMATIONAL, LOW, MEDIUM oder HIGH sein.
security_result.severity_details event.idm.read_only_udm.security_result.severity_details Direkt aus dem Feld severity oder log.syslog.severity.name des Rohlogs zugeordnet.
security_result.summary event.idm.read_only_udm.security_result.summary Aus der Roh-Lognachricht extrahiert. Bietet eine kurze Zusammenfassung des Sicherheitsergebnisses.
service event.idm.read_only_udm.principal.application Direkt aus dem Feld service des Rohlogs zugeordnet.
source event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld source des Rohlogs zugeordnet.
src.file.full_path event.idm.read_only_udm.src.file.full_path Aus der Roh-Lognachricht extrahiert.
src.hostname event.idm.read_only_udm.src.hostname Direkt aus dem Feld src.hostname des Rohlogs zugeordnet.
src_ip event.idm.read_only_udm.principal.ip Direkt aus dem Feld src_ip des Rohlogs zugeordnet.
src_mac_address event.idm.read_only_udm.principal.mac Direkt aus dem Feld src_mac_address des Rohlogs zugeordnet.
srcport event.idm.read_only_udm.principal.port Direkt aus dem Feld srcport des Rohlogs zugeordnet.
srcip event.idm.read_only_udm.principal.ip Direkt aus dem Feld srcip des Rohlogs zugeordnet.
subtype event.idm.read_only_udm.metadata.event_type Direkt aus dem Feld subtype des Rohlogs zugeordnet.
tags event.idm.read_only_udm.metadata.tags Wird direkt aus dem Feld tags des JSON-Logs zugeordnet.
target.application event.idm.read_only_udm.target.application Direkt aus dem Feld target_application des Rohlogs zugeordnet.
target.file.full_path event.idm.read_only_udm.target.file.full_path Aus der Roh-Lognachricht extrahiert.
target.hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Direkt aus dem Feld target_hostname oder iporhost des Rohlogs zugeordnet.
target.ip event.idm.read_only_udm.target.ip Direkt aus dem Feld target_ip des Rohlogs zugeordnet.
target.mac event.idm.read_only_udm.target.mac Direkt aus dem Feld target_mac_address des Rohlogs zugeordnet.
target.port event.idm.read_only_udm.target.port Direkt aus dem Feld target_port des Rohlogs zugeordnet.
target.process.command_line event.idm.read_only_udm.target.process.command_line Direkt aus dem Feld cmd des Rohlogs zugeordnet.
target.process.parent_process.pid event.idm.read_only_udm.target.process.parent_process.pid Direkt aus dem Feld parent_pid des Rohlogs zugeordnet.
target.process.pid event.idm.read_only_udm.target.process.pid Direkt aus dem Feld pid des Rohlogs zugeordnet.
target.process.product_specific_process_id event.idm.read_only_udm.target.process.product_specific_process_id Wird aus dem Feld message_to_process des Rohlogs extrahiert und hat in der Regel das Präfix „opID:“.
target.resource.name event.idm.read_only_udm.target.resource.name Direkt aus dem Feld adapter des Rohlogs zugeordnet.
target.resource.resource_type event.idm.read_only_udm.target.resource.resource_type Legen Sie VIRTUAL_MACHINE fest, wenn das Protokoll einen VM-Vorgang angibt.
target.resource.type event.idm.read_only_udm.target.resource.type Setzen Sie den Wert auf SETTING, wenn das Protokoll eine Einstellungsänderung anzeigt.
target.user.userid event.idm.read_only_udm.target.user.userid Direkt aus dem Feld target_username oder user1 des Rohlogs zugeordnet.
timestamp event.timestamp Wird mit dem Filter date aus dem Feld timestamp oder data des Logs geparst und in ein Zeitstempelobjekt umgewandelt.
type event.idm.read_only_udm.additional.fields Das Feld type des Protokolls wird dem Array additional_fields im UDM mit dem Schlüssel „LogType“ hinzugefügt.
user1 event.idm.read_only_udm.target.user.userid Direkt aus dem Feld user1 des Rohlogs zugeordnet.
useragent event.idm.read_only_udm.network.http.user_agent Direkt aus dem Feld useragent des Rohlogs zugeordnet.
vmw_cluster event.idm.read_only_udm.target.resource.name Direkt aus dem Feld vmw_cluster des Rohlogs zugeordnet.
vmw_datacenter event.idm.read_only_udm.target.resource.name Direkt aus dem Feld vmw_datacenter des Rohlogs zugeordnet.
vmw_host event.idm.read_only_udm.target.ip Direkt aus dem Feld vmw_host des Rohlogs zugeordnet.
vmw_object_id event.idm.read_only_udm.target.resource.id Direkt aus dem Feld vmw_object_id des Rohlogs zugeordnet.
vmw_product event.idm.read_only_udm.target.application Direkt aus dem Feld vmw_product des Rohlogs zugeordnet.
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone Direkt aus dem Feld vmw_vcenter des Rohlogs zugeordnet.
vmw_vcenter_id event.idm.read_only_udm.target.cloud.availability_zone.id Direkt aus dem Feld vmw_vcenter_id des Rohlogs zugeordnet.
vmw_vr_ops_appname event.idm.read_only_udm.target.application Direkt aus dem Feld vmw_vr_ops_appname des Rohlogs zugeordnet.
vmw_vr_ops_clustername event.idm.read_only_udm.target.resource.name Direkt aus dem Feld vmw_vr_ops_clustername des Rohlogs zugeordnet.
vmw_vr_ops_clusterrole event.idm.read_only_udm.target.resource.type Direkt aus dem Feld vmw_vr_ops_clusterrole des Rohlogs zugeordnet.

Änderungen

2024-06-03

  • Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.

2024-05-09

  • Unterstützung für ein neues Muster für „snmpd“- und „Rhttpproxy“-Protokolle hinzugefügt.
  • „prod_event_type“ wurde in „metadata.product_event_type“ umgewandelt.
  • „context“ wurde „additional.fields“ zugeordnet.

2024-02-07

  • Fehlerkorrektur:
  • Es wurden neue Grok-Muster hinzugefügt, um die SYSLOG-Protokolle zu unterstützen, die verworfen werden.
  • „newVersion“ und „filter“ wurden auf „security_result.detection_fields“ zugeordnet.
  • „description“ wurde in „security_result.description“ geändert.

2023-10-10

  • Die folgenden JSON-Schlüsselnamen wurden mit der Funktion „gsub“ geändert:
  • „service“ in „serv“.
  • „event“ in „log_event“.
  • „@timestamp“ zu „timestamp“.
  • „@version“ in „version“.
  • Es wurden neue Grok-Muster hinzugefügt, um die JSON-Protokolle mit neuen Feldern zu verarbeiten.
  • „Zeitstempel“ wurde mit den Formaten „RFC 3339“ und „TIMESTAMP_ISO8601“ abgeglichen.
  • „host.hostname“ wurde „principal.hostname“ zugeordnet.
  • „host.ip“ wurde auf „principal.ip“ zugeordnet.
  • „type“, „serv.type“, „log.syslog.facility.code“, „log.syslog.facility.name“, „log.syslog.severity.code“, „log.syslog.severity.name“ und „log.syslog.priority“ wurden in „additional.fields“ zugeordnet.
  • „process.name“ wurde „service“ zugeordnet.
  • „version“ wurde mit „metadata.product_version“ abgeglichen.
  • „severity“ wurde zu „security_result.severity“ zugeordnet.

2023-09-25

  • Es wurden neue Grok-Muster hinzugefügt, um den neuen SYSLOG-Typ für VMware ESXi zu verarbeiten.
  • „app_name“ wurde „principal.application“ zugeordnet.
  • „severity“ wurde zu „security_result.severity“ zugeordnet.

2023-07-17

  • Fehlerkorrektur: „username“ wurde auf „target.user.userid“ umgestellt.
  • „pid“ wurde auf „principal.process.pid“ zugeordnet.
  • „description“ wurde „metadata.description“ zugeordnet.

2023-06-12

  • Fehlerkorrektur: Die Zuordnung von „Sitzung“ für den Typ „vmauthd“ wurde geändert. Sie wurde „network.session_id“ zugeordnet.

2022-09-01

  • Bugfix: principal.namespace wurde von seinem hartcodierten Wert abgekoppelt.

2022-08-24

  • Verbesserung: Neuer Datumstyp zum Parsen von Datumsangaben im Format „TT.MM.JJJJTHH:mm:s“ hinzugefügt.

2022-08-03

  • Verbesserung: Grok-Muster für die Verarbeitung von Protokollen mit den Diensten „hostd“, „vmon“ und „vrops“ hinzugefügt.

2022-07-26

  • Verbesserung –
  • wobei „service“ mit „Rhttpproxy“ übereinstimmt
  • Die Zuordnung für „principal.namespace“ wurde von „namespace“ zu „WALMART“ geändert.
  • „namespace“ wurde „additional.fields“ zugeordnet.
  • wobei „service“ gleich „crond“ ist
  • „parent_pid“ wurde auf „target.process.parent_process.pid“ zugeordnet.

2022-07-05

  • Fehlerbehebung: Der Parser wurde aktualisiert, damit er den Zeitstempel im Format „JJJJ-MM-TTThh:mm:ss.SSSS“ erkennt.

2022-06-13

  • Verbesserung: Die Grok-Muster wurden geändert/hinzugefügt, um die Protokolle mit den Diensten hostd, sendmail, sshd, sudo, vmcad, vmon, vpxd und vrops zu verarbeiten.
  • Fehlerkorrektur: „metadata.event_type“ für „vmauthd“-Protokolle von „USER_LOGIN“ in „GENERIC_EVENT“ geändert.

2022-05-02

  • Fehlerbehebung: Gemäß den Anforderungen der Nutzer wurde die Zuordnung „target.hostname“ in „principal.ip“ für Protokolle geändert, deren Dienst „Hostd“ ist.

2022-04-13

  • Verbesserung: Die Logs mit den folgenden Dienstnamen wurden analysiert: hostd-probe, vmkernel, vmkwarning, Fdm, netcpa, root, hpHelper, snmpd usw.
  • „logstash.ingest.timestamp“ wurde „metadata.ingested_timestamp“ zugeordnet,
  • logstash.ingest.host und logstash.process.host in intermediary.hostname,
  • logstash.collect.host zu observer.hostname.