Mengumpulkan log VMware ESXi

Didukung di:

Ringkasan

Parser ini mengekstrak kolom dari syslog VMware ESXi dan log berformat JSON. Alat ini menormalisasi berbagai format log ESXi ke dalam struktur umum, lalu mengisi kolom UDM berdasarkan nilai yang diekstrak, termasuk menangani kasus tertentu untuk berbagai layanan ESXi seperti crond, named, dan sshd menggunakan file include.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke VMWare ESX.
  • Pastikan Anda memiliki Windows 2012 SP2 atau yang lebih baru atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka SIEM Settings > Collection Agents.
  3. Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

  1. Untuk penginstalan Windows, jalankan skrip berikut: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
  2. Untuk penginstalan Linux, jalankan skrip berikut: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.
  2. Edit file config.yaml sebagai berikut:

    receivers:
      tcplog:
        # Replace the below port <54525> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Mulai ulang Agen BindPlane untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengizinkan aturan firewall syslog ESXi

  1. Buka Networking > Firewall rules.
  2. Temukan syslog di kolom Nama.
  3. Klik Edit setelan.
  4. Perbarui port tcp atau udp yang telah Anda konfigurasikan di BindPlane.
  5. Klik Save.
  6. Biarkan baris syslog dipilih.
  7. Pilih Tindakan > Aktifkan.

Mengekspor Syslog dari VMware ESXi menggunakan vSphere Client

  1. Login ke host ESXi menggunakan vSphere Client.
  2. Buka Kelola > Sistem > Setelan Lanjutan.
  3. Temukan kunci Syslog.global.logHost dalam daftar.
  4. Pilih kunci dan klik Edit option.
  5. Masukkan <protocol>://<destination_IP>:<port>
    • Ganti <protocol> dengan tcp (jika Anda mengonfigurasi BindPlane untuk menggunakan UDP, ketik udp).
    • Ganti <destination_IP> dengan alamat IP Agen BindPlane Anda.
    • Ganti <port> dengan port yang sebelumnya disiapkan di BindPlane.
  6. Klik Save.

Opsional: Mengekspor Syslog dari VMware ESXi menggunakan SSH

  1. Hubungkan ke host ESXi menggunakan SSH.
  2. Gunakan perintah esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>.
    • Ganti <protocol> dengan tcp (jika Anda mengonfigurasi BindPlane untuk menggunakan UDP, ketik udp).
    • Ganti <destination_IP> dengan alamat IP Agen BindPlane Anda.
    • Ganti <port> dengan port yang sebelumnya disiapkan di BindPlane.
  3. Mulai ulang layanan syslog dengan memasukkan perintah /etc/init.d/syslog restart.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
@fields.alias event.idm.read_only_udm.principal.cloud.project.alias Dipetakan langsung dari kolom @fields.alias log JSON.
@fields.company_name event.idm.read_only_udm.principal.user.company_name Dipetakan langsung dari kolom @fields.company_name log JSON.
@fields.facility event.idm.read_only_udm.principal.resource.type Dipetakan langsung dari kolom @fields.facility log JSON.
@fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom @fields.host log JSON.
@fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Dipetakan langsung dari kolom @fields.privatecloud_id log JSON.
@fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Dipetakan langsung dari kolom @fields.privatecloud_name log JSON.
@fields.procid event.idm.read_only_udm.principal.process.pid Dipetakan langsung dari kolom @fields.procid log JSON.
@fields.region_id event.idm.read_only_udm.principal.location.country_or_region Dipetakan langsung dari kolom @fields.region_id log JSON.
@fields.severity event.idm.read_only_udm.security_result.severity Dipetakan dari kolom @fields.severity log JSON. Jika nilainya "info" atau yang serupa, nilai tersebut akan dipetakan ke "INFORMATIONAL".
@timestamp event.idm.read_only_udm.metadata.event_timestamp Diurai dan dikonversi menjadi objek stempel waktu dari kolom @timestamp log menggunakan filter date.
adapter event.idm.read_only_udm.target.resource.name Dipetakan langsung dari kolom adapter log mentah.
action event.idm.read_only_udm.security_result.action Dipetakan langsung dari kolom action log mentah. Nilai seperti "ALLOW" dan "BLOCK" digunakan.
action event.idm.read_only_udm.security_result.action_details Dipetakan langsung dari kolom action log mentah. Nilai seperti "Redirect" digunakan.
administrative_domain event.idm.read_only_udm.principal.administrative_domain Dipetakan langsung dari kolom administrative_domain log mentah.
agent.hostname event.idm.read_only_udm.intermediary.hostname Dipetakan langsung dari kolom agent.hostname log JSON.
agent.id event.idm.read_only_udm.intermediary.asset.id Dipetakan langsung dari kolom agent.id log JSON.
agent.name event.idm.read_only_udm.intermediary.asset.name Dipetakan langsung dari kolom agent.name log JSON.
agent.type event.idm.read_only_udm.intermediary.asset.type Dipetakan langsung dari kolom agent.type log JSON.
agent.version event.idm.read_only_udm.intermediary.asset.version Dipetakan langsung dari kolom agent.version log JSON.
app_name event.idm.read_only_udm.principal.application Dipetakan langsung dari kolom app_name log mentah.
app_protocol event.idm.read_only_udm.network.application_protocol Dipetakan langsung dari kolom app_protocol log mentah. Jika nilai cocok dengan "http" (tidak peka huruf besar/kecil), nilai tersebut akan dipetakan ke "HTTP".
application event.idm.read_only_udm.principal.application Dipetakan langsung dari kolom program log JSON.
cmd event.idm.read_only_udm.target.process.command_line Dipetakan langsung dari kolom cmd log mentah.
collection_time event.idm.read_only_udm.metadata.event_timestamp Nanodetik dari kolom collection_time ditambahkan ke detik dari kolom collection_time untuk membuat event_timestamp.
data event.idm.read_only_udm.metadata.description Pesan log mentah diuraikan dan bagian yang relevan diekstrak untuk mengisi kolom deskripsi.
descrip event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom descrip log mentah.
dns.answers.data event.idm.read_only_udm.network.dns.answers.data Dipetakan langsung dari kolom dns.answers.data log JSON.
dns.answers.ttl event.idm.read_only_udm.network.dns.answers.ttl Dipetakan langsung dari kolom dns.answers.ttl log JSON.
dns.answers.type event.idm.read_only_udm.network.dns.answers.type Dipetakan langsung dari kolom dns.answers.type log JSON.
dns.questions.name event.idm.read_only_udm.network.dns.questions.name Dipetakan langsung dari kolom dns.questions.name log JSON.
dns.questions.type event.idm.read_only_udm.network.dns.questions.type Dipetakan langsung dari kolom dns.questions.type log JSON.
dns.response event.idm.read_only_udm.network.dns.response Dipetakan langsung dari kolom dns.response log JSON.
ecs.version event.idm.read_only_udm.metadata.product_version Dipetakan langsung dari kolom ecs.version log JSON.
event_message event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom event_message log JSON.
event_metadata event.idm.read_only_udm.principal.process.product_specific_process_id Kolom event_metadata diuraikan untuk mengekstrak nilai opID, yang kemudian ditambahkan dengan "opID:" dan dipetakan ke UDM.
event_type event.idm.read_only_udm.metadata.event_type Dipetakan langsung dari kolom event_type log JSON.
filepath event.idm.read_only_udm.target.file.full_path Dipetakan langsung dari kolom filepath log mentah.
fields.company_name event.idm.read_only_udm.principal.user.company_name Dipetakan langsung dari kolom fields.company_name log JSON.
fields.facility event.idm.read_only_udm.principal.resource.type Dipetakan langsung dari kolom fields.facility log JSON.
fields.host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom fields.host log JSON.
fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id Dipetakan langsung dari kolom fields.privatecloud_id log JSON.
fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name Dipetakan langsung dari kolom fields.privatecloud_name log JSON.
fields.procid event.idm.read_only_udm.principal.process.pid Dipetakan langsung dari kolom fields.procid log JSON.
fields.region_id event.idm.read_only_udm.principal.location.country_or_region Dipetakan langsung dari kolom fields.region_id log JSON.
fields.severity event.idm.read_only_udm.security_result.severity Dipetakan dari kolom fields.severity log JSON. Jika nilainya "info" atau yang serupa, nilai tersebut akan dipetakan ke "INFORMATIONAL".
host.architecture event.idm.read_only_udm.principal.asset.architecture Dipetakan langsung dari kolom host.architecture log JSON.
host.containerized event.idm.read_only_udm.principal.asset.containerized Dipetakan langsung dari kolom host.containerized log JSON.
host.hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom host.hostname log JSON.
host.id event.idm.read_only_udm.principal.asset.id Dipetakan langsung dari kolom host.id log JSON.
host.ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom host.ip log JSON.
host.mac event.idm.read_only_udm.principal.mac, event.idm.read_only_udm.principal.asset.mac Dipetakan langsung dari kolom host.mac log JSON.
host.name event.idm.read_only_udm.principal.asset.name Dipetakan langsung dari kolom host.name log JSON.
host.os.codename event.idm.read_only_udm.principal.asset.os.codename Dipetakan langsung dari kolom host.os.codename log JSON.
host.os.family event.idm.read_only_udm.principal.asset.os.family Dipetakan langsung dari kolom host.os.family log JSON.
host.os.kernel event.idm.read_only_udm.principal.asset.os.kernel Dipetakan langsung dari kolom host.os.kernel log JSON.
host.os.name event.idm.read_only_udm.principal.asset.os.name Dipetakan langsung dari kolom host.os.name log JSON.
host.os.platform event.idm.read_only_udm.principal.asset.os.platform Dipetakan langsung dari kolom host.os.platform log JSON.
host.os.version event.idm.read_only_udm.principal.asset.os.version Dipetakan langsung dari kolom host.os.version log JSON.
iporhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom iporhost log mentah.
iporhost event.idm.read_only_udm.principal.ip Dipetakan langsung dari kolom iporhost log mentah jika berupa alamat IP.
iporhost1 event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom iporhost1 log mentah.
kv_data1 event.idm.read_only_udm.principal.process.product_specific_process_id Kolom kv_data1 diuraikan untuk mengekstrak nilai opID atau sub, yang kemudian diawali dengan "opID:" atau "sub:" dan dipetakan ke UDM.
kv_msg event.idm.read_only_udm.additional.fields Kolom kv_msg diuraikan sebagai pasangan nilai kunci dan ditambahkan ke array additional_fields di UDM.
kv_msg1 event.idm.read_only_udm.additional.fields Kolom kv_msg1 diuraikan sebagai pasangan nilai kunci dan ditambahkan ke array additional_fields di UDM.
lbdn event.idm.read_only_udm.target.hostname Dipetakan langsung dari kolom lbdn log mentah.
log.source.address event.idm.read_only_udm.observer.hostname Dipetakan langsung dari kolom log.source.address log JSON, hanya mengambil bagian nama host.
log_event.original event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom event.original log JSON.
log_level event.idm.read_only_udm.security_result.severity_details Dipetakan langsung dari kolom log_level log JSON.
logstash.collect.host event.idm.read_only_udm.observer.hostname Dipetakan langsung dari kolom logstash.collect.host log JSON.
logstash.collect.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Diurai dan dikonversi menjadi objek stempel waktu dari kolom logstash.collect.timestamp log menggunakan filter date.
logstash.ingest.host event.idm.read_only_udm.intermediary.hostname Dipetakan langsung dari kolom logstash.ingest.host log JSON.
logstash.ingest.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Diurai dan dikonversi menjadi objek stempel waktu dari kolom logstash.ingest.timestamp log menggunakan filter date.
logstash.process.host event.idm.read_only_udm.intermediary.hostname Dipetakan langsung dari kolom logstash.process.host log JSON.
logstash.process.timestamp event.idm.read_only_udm.metadata.ingested_timestamp Diurai dan dikonversi menjadi objek stempel waktu dari kolom logstash.process.timestamp log menggunakan filter date.
log_type event.idm.read_only_udm.metadata.log_type Dipetakan langsung dari kolom log_type log mentah.
message event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom message log JSON.
message_to_process event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom message_to_process log mentah.
metadata.event_type event.idm.read_only_udm.metadata.event_type Awalnya ditetapkan ke "GENERIC_EVENT", lalu berpotensi ditimpa berdasarkan service yang diuraikan atau konten log lainnya. Dapat berupa nilai seperti PROCESS_LAUNCH, NETWORK_CONNECTION, USER_LOGIN, dll.
metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom process_id atau prod_event_type log mentah.
metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom event_id log mentah.
metadata.product_name event.idm.read_only_udm.metadata.product_name Tetapkan ke "ESX".
metadata.product_version event.idm.read_only_udm.metadata.product_version Dipetakan langsung dari kolom version log JSON.
metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Tetapkan ke "VMWARE".
msg event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom msg log mentah.
network.application_protocol event.idm.read_only_udm.network.application_protocol Tetapkan ke "DNS" jika service "bernama", "HTTPS" jika port-nya 443, atau "HTTP" jika app_protocol cocok dengan "http".
network.direction event.idm.read_only_udm.network.direction Ditentukan dari kata kunci dalam log mentah, seperti "IN", "OUT", "->". Dapat berupa INBOUND atau OUTBOUND.
network.http.method event.idm.read_only_udm.network.http.method Dipetakan langsung dari kolom method log mentah.
network.http.parsed_user_agent event.idm.read_only_udm.network.http.parsed_user_agent Diurai dari kolom useragent menggunakan filter convert.
network.http.referral_url event.idm.read_only_udm.network.http.referral_url Dipetakan langsung dari kolom prin_url log mentah.
network.http.response_code event.idm.read_only_udm.network.http.response_code Dipetakan langsung dari kolom status_code log mentah dan dikonversi menjadi bilangan bulat.
network.http.user_agent event.idm.read_only_udm.network.http.user_agent Dipetakan langsung dari kolom useragent log mentah.
network.ip_protocol event.idm.read_only_udm.network.ip_protocol Ditentukan dari kata kunci dalam log mentah, seperti "TCP", "UDP".
network.received_bytes event.idm.read_only_udm.network.received_bytes Dipetakan langsung dari kolom rec_bytes log mentah dan dikonversi menjadi bilangan bulat tanpa tanda tangan.
network.sent_bytes event.idm.read_only_udm.network.sent_bytes Diekstrak dari kolom message_to_process log mentah.
network.session_id event.idm.read_only_udm.network.session_id Dipetakan langsung dari kolom session log mentah.
pid event.idm.read_only_udm.target.process.parent_process.pid Dipetakan langsung dari kolom pid log mentah.
pid event.idm.read_only_udm.principal.process.pid Dipetakan langsung dari kolom pid log JSON.
pid event.idm.read_only_udm.target.process.pid Dipetakan langsung dari kolom pid log mentah.
port event.idm.read_only_udm.target.port Dipetakan langsung dari kolom port log JSON.
principal.application event.idm.read_only_udm.principal.application Dipetakan langsung dari kolom app_name atau service log mentah.
principal.asset.hostname event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom principal_hostname atau iporhost log mentah.
principal.asset.ip event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom syslog_ip log mentah.
principal.hostname event.idm.read_only_udm.principal.hostname Dipetakan langsung dari kolom principal_hostname atau iporhost log mentah.
principal.ip event.idm.read_only_udm.principal.ip Dipetakan langsung dari kolom iporhost atau syslog_ip log mentah.
principal.port event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom srcport log mentah.
principal.process.command_line event.idm.read_only_udm.principal.process.command_line Dipetakan langsung dari kolom cmd log mentah.
principal.process.parent_process.pid event.idm.read_only_udm.principal.process.parent_process.pid Dipetakan langsung dari kolom parent_pid log mentah.
principal.process.pid event.idm.read_only_udm.principal.process.pid Dipetakan langsung dari kolom process_id log mentah.
principal.process.product_specific_process_id event.idm.read_only_udm.principal.process.product_specific_process_id Diekstrak dari kolom message_to_process log mentah, biasanya diawali dengan "opID:".
principal.url event.idm.read_only_udm.principal.url Dipetakan langsung dari kolom prin_url log mentah.
principal.user.company_name event.idm.read_only_udm.principal.user.company_name Dipetakan langsung dari kolom fields.company_name log JSON.
principal.user.userid event.idm.read_only_udm.principal.user.userid Dipetakan langsung dari kolom USER log mentah.
priority event.idm.read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom priority log mentah.
program event.idm.read_only_udm.principal.application Dipetakan langsung dari kolom program log JSON.
qname event.idm.read_only_udm.network.dns.questions.name Dipetakan langsung dari kolom qname log mentah.
response_data event.idm.read_only_udm.network.dns.answers.data Dipetakan langsung dari kolom response_data log mentah.
response_rtype event.idm.read_only_udm.network.dns.answers.type Dipetakan langsung dari kolom response_rtype log mentah. Jenis data DNS numerik diekstrak.
response_ttl event.idm.read_only_udm.network.dns.answers.ttl Dipetakan langsung dari kolom response_ttl log mentah.
rtype event.idm.read_only_udm.network.dns.questions.type Dipetakan langsung dari kolom rtype log mentah. Jenis data DNS numerik diekstrak.
security_result.action event.idm.read_only_udm.security_result.action Ditentukan dari kata kunci atau status dalam log mentah. Dapat berupa ALLOW atau BLOCK.
security_result.action_details event.idm.read_only_udm.security_result.action_details Diekstrak dari pesan log mentah, yang memberikan lebih banyak konteks tentang tindakan yang diambil.
security_result.category event.idm.read_only_udm.security_result.category Tetapkan ke POLICY_VIOLATION jika log menunjukkan kecocokan aturan firewall.
security_result.description event.idm.read_only_udm.security_result.description Diekstrak dari pesan log mentah, yang memberikan lebih banyak konteks tentang hasil keamanan.
security_result.rule_id event.idm.read_only_udm.security_result.rule_id Dipetakan langsung dari kolom rule_id log mentah.
security_result.severity event.idm.read_only_udm.security_result.severity Ditentukan dari kata kunci dalam log mentah, seperti "info", "peringatan", "error". Dapat berupa INFORMATIONAL, LOW, MEDIUM, atau HIGH.
security_result.severity_details event.idm.read_only_udm.security_result.severity_details Dipetakan langsung dari kolom severity atau log.syslog.severity.name log mentah.
security_result.summary event.idm.read_only_udm.security_result.summary Diekstrak dari pesan log mentah, yang memberikan ringkasan ringkas tentang hasil keamanan.
service event.idm.read_only_udm.principal.application Dipetakan langsung dari kolom service log mentah.
source event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom source log mentah.
src.file.full_path event.idm.read_only_udm.src.file.full_path Diekstrak dari pesan log mentah.
src.hostname event.idm.read_only_udm.src.hostname Dipetakan langsung dari kolom src.hostname log mentah.
src_ip event.idm.read_only_udm.principal.ip Dipetakan langsung dari kolom src_ip log mentah.
src_mac_address event.idm.read_only_udm.principal.mac Dipetakan langsung dari kolom src_mac_address log mentah.
srcport event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom srcport log mentah.
srcip event.idm.read_only_udm.principal.ip Dipetakan langsung dari kolom srcip log mentah.
subtype event.idm.read_only_udm.metadata.event_type Dipetakan langsung dari kolom subtype log mentah.
tags event.idm.read_only_udm.metadata.tags Dipetakan langsung dari kolom tags log JSON.
target.application event.idm.read_only_udm.target.application Dipetakan langsung dari kolom target_application log mentah.
target.file.full_path event.idm.read_only_udm.target.file.full_path Diekstrak dari pesan log mentah.
target.hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Dipetakan langsung dari kolom target_hostname atau iporhost log mentah.
target.ip event.idm.read_only_udm.target.ip Dipetakan langsung dari kolom target_ip log mentah.
target.mac event.idm.read_only_udm.target.mac Dipetakan langsung dari kolom target_mac_address log mentah.
target.port event.idm.read_only_udm.target.port Dipetakan langsung dari kolom target_port log mentah.
target.process.command_line event.idm.read_only_udm.target.process.command_line Dipetakan langsung dari kolom cmd log mentah.
target.process.parent_process.pid event.idm.read_only_udm.target.process.parent_process.pid Dipetakan langsung dari kolom parent_pid log mentah.
target.process.pid event.idm.read_only_udm.target.process.pid Dipetakan langsung dari kolom pid log mentah.
target.process.product_specific_process_id event.idm.read_only_udm.target.process.product_specific_process_id Diekstrak dari kolom message_to_process log mentah, biasanya diawali dengan "opID:".
target.resource.name event.idm.read_only_udm.target.resource.name Dipetakan langsung dari kolom adapter log mentah.
target.resource.resource_type event.idm.read_only_udm.target.resource.resource_type Tetapkan ke VIRTUAL_MACHINE jika log menunjukkan operasi VM.
target.resource.type event.idm.read_only_udm.target.resource.type Tetapkan ke SETTING jika log menunjukkan perubahan setelan.
target.user.userid event.idm.read_only_udm.target.user.userid Dipetakan langsung dari kolom target_username atau user1 log mentah.
timestamp event.timestamp Diurai dan dikonversi menjadi objek stempel waktu dari kolom timestamp atau data log menggunakan filter date.
type event.idm.read_only_udm.additional.fields Kolom type log ditambahkan ke array additional_fields di UDM dengan kunci "LogType".
user1 event.idm.read_only_udm.target.user.userid Dipetakan langsung dari kolom user1 log mentah.
useragent event.idm.read_only_udm.network.http.user_agent Dipetakan langsung dari kolom useragent log mentah.
vmw_cluster event.idm.read_only_udm.target.resource.name Dipetakan langsung dari kolom vmw_cluster log mentah.
vmw_datacenter event.idm.read_only_udm.target.resource.name Dipetakan langsung dari kolom vmw_datacenter log mentah.
vmw_host event.idm.read_only_udm.target.ip Dipetakan langsung dari kolom vmw_host log mentah.
vmw_object_id event.idm.read_only_udm.target.resource.id Dipetakan langsung dari kolom vmw_object_id log mentah.
vmw_product event.idm.read_only_udm.target.application Dipetakan langsung dari kolom vmw_product log mentah.
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone Dipetakan langsung dari kolom vmw_vcenter log mentah.
vmw_vcenter_id event.idm.read_only_udm.target.cloud.availability_zone.id Dipetakan langsung dari kolom vmw_vcenter_id log mentah.
vmw_vr_ops_appname event.idm.read_only_udm.target.application Dipetakan langsung dari kolom vmw_vr_ops_appname log mentah.
vmw_vr_ops_clustername event.idm.read_only_udm.target.resource.name Dipetakan langsung dari kolom vmw_vr_ops_clustername log mentah.
vmw_vr_ops_clusterrole event.idm.read_only_udm.target.resource.type Dipetakan langsung dari kolom vmw_vr_ops_clusterrole log mentah.

Perubahan

2024-06-03

  • Menambahkan dukungan untuk pola log JSON baru.

2024-05-09

  • Menambahkan dukungan untuk pola baru log "snmpd" dan "Rhttpproxy".
  • Memetakan "prod_event_type" ke "metadata.product_event_type".
  • Memetakan "context" ke "additional.fields".

2024-02-07

  • Perbaikan Bug:
  • Menambahkan pola Grok baru untuk mendukung log SYSLOG yang dihapus.
  • Memetakan "newVersion" dan "filter" ke "security_result.detection_fields".
  • Memetakan "description" ke "security_result.description".

2023-10-10

  • Mengubah nama kunci JSON berikut menggunakan fungsi gsub:
  • "service" menjadi "serv".
  • "event" menjadi "log_event".
  • "@stempel waktu" menjadi "stempel waktu".
  • "@version" menjadi "version".
  • Menambahkan pola Grok baru untuk menangani log JSON dengan kolom baru.
  • Mencocokkan "stempel waktu" dengan format "RFC 3339" dan "TIMESTAMP_ISO8601".
  • Memetakan "host.hostname" ke "principal.hostname".
  • Memetakan "host.ip" ke "principal.ip".
  • Memetakan "type", "serv.type", "log.syslog.facility.code", "log.syslog.facility.name", "log.syslog.severity.code", "log.syslog.severity.name", dan "log.syslog.priority" ke "additional.fields".
  • Memetakan "process.name" ke "service".
  • Memetakan "version" ke "metadata.product_version".
  • Memetakan "severity" ke "security_result.severity".

2023-09-25

  • Menambahkan pola Grok baru untuk menangani jenis SYSLOG baru untuk VMware ESXi.
  • Memetakan "app_name" ke "principal.application".
  • Memetakan "severity" ke "security_result.severity".

2023-07-17

  • Perbaikan_bug - Memetakan "username" ke "target.user.userid".
  • Memetakan "pid" ke "principal.process.pid".
  • Memetakan "description" ke "metadata.description".

2023-06-12

  • Bug_fix - Pemetaan "session" yang diubah untuk jenis "vmauthd". Memetakannya ke "network.session_id".

2022-09-01

  • Perbaikan_bug - principal.namespace yang tidak dipetakan dari nilai hardcode-nya.

2022-08-24

  • Peningkatan - - Menambahkan jenis tanggal baru untuk mengurai tanggal dalam format "yyyy-MM-ddTHH:mm:s".

2022-08-03

  • Peningkatan - Menambahkan pola grok untuk menangani log dengan layanan :- hostd, vmon, dan vrops.

2022-07-26

  • Peningkatan -
  • Dengan "service" sama dengan "Rhttpproxy"
  • Pemetaan yang diubah untuk "principal.namespace" dari "namespace" menjadi "WALMART".
  • Memetakan "namespace" ke "additional.fields".
  • Dengan "service" sama dengan "crond"
  • Memetakan "parent_pid" ke "target.process.parent_process.pid".

2022-07-05

  • Perbaikan bug - Memperbarui parser agar cocok dengan stempel waktu dalam format "yyyy-MM-ddTHH:mm:ss.SSSS".

2022-06-13

  • Peningkatan - Mengubah/Menambahkan pola grok untuk menangani log dengan layanan :- hostd, sendmail, sshd, sudo, vmcad, vmon, vpxd, vrops.
  • Perbaikan bug - Mengubah "metadata.event_type" untuk log 'vmauthd' dari "USER_LOGIN" menjadi "GENERIC_EVENT".

2022-05-02

  • Perbaikan bug - Sesuai dengan persyaratan pengguna, pemetaan target.hostname diubah menjadi principal.ip untuk log yang memiliki layanan sebagai "Hostd".

2022-04-13

  • Peningkatan-Menguraikan log yang memiliki nama layanan berikut: hostd-probe, vmkernel, vmkwarning, Fdm, netcpa, root, hpHelper, snmpd, dll.
  • Memetakan logstash.ingest.timestamp ke metadata.ingested_timestamp,
  • logstash.ingest.host dan logstash.process.host ke intermediary.hostname,
  • logstash.collect.host ke observer.hostname.