Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VMware ESXi

Didukung di:

Google SecOps SIEM

Ringkasan

Parser ini mengekstrak kolom dari syslog VMware ESXi dan log berformat JSON. Alat ini menormalisasi berbagai format log ESXi ke dalam struktur umum, lalu mengisi kolom UDM berdasarkan nilai yang diekstrak, termasuk menangani kasus tertentu untuk berbagai layanan ESXi seperti crond, named, dan sshd menggunakan file include.

Sebelum memulai

Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke VMWare ESX.
Pastikan Anda memiliki Windows 2012 SP2 atau yang lebih baru atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Untuk penginstalan Windows, jalankan skrip berikut: msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet.
Untuk penginstalan Linux, jalankan skrip berikut: sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh.
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

Akses komputer tempat Agen Bindplane diinstal.

Edit file config.yaml sebagai berikut:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Agen Bindplane untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengizinkan aturan firewall syslog ESXi

Buka Networking > Firewall rules.
Temukan syslog di kolom Nama.
Klik Edit setelan.
Perbarui port tcp atau udp yang Anda konfigurasikan di Bindplane.
Klik Simpan.
Biarkan baris syslog dipilih.
Pilih Tindakan > Aktifkan.

Mengekspor Syslog dari VMware ESXi menggunakan vSphere Client

Login ke host ESXi menggunakan vSphere Client.
Buka Kelola > Sistem > Setelan Lanjutan.
Temukan kunci Syslog.global.logHost dalam daftar.
Pilih kunci dan klik Edit option.
Masukkan <protocol>://<destination_IP>:<port>
- Ganti <protocol> dengan tcp (jika Anda mengonfigurasi Agen Bindplane untuk menggunakan UDP, ketik udp).
- Ganti <destination_IP> dengan alamat IP Agen Bindplane Anda.
- Ganti <port> dengan port yang sebelumnya disiapkan di Agen Bindplane.
Klik Simpan.

Opsional: Mengekspor Syslog dari VMware ESXi menggunakan SSH

Hubungkan ke host ESXi menggunakan SSH.
Gunakan perintah esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>.
- Ganti <protocol> dengan tcp (jika Anda mengonfigurasi Agen Bindplane untuk menggunakan UDP, ketik udp).
- Ganti <destination_IP> dengan alamat IP Agen Bindplane Anda.
- Ganti <port> dengan port yang sebelumnya disiapkan di Bindplane.
Mulai ulang layanan syslog dengan memasukkan perintah /etc/init.d/syslog restart.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`@fields.alias`	`event.idm.read_only_udm.principal.cloud.project.alias`	Dipetakan langsung dari kolom `@fields.alias` log JSON.
`@fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Dipetakan langsung dari kolom `@fields.company_name` log JSON.
`@fields.facility`	`event.idm.read_only_udm.principal.resource.type`	Dipetakan langsung dari kolom `@fields.facility` log JSON.
`@fields.host`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `@fields.host` log JSON.
`@fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	Dipetakan langsung dari kolom `@fields.privatecloud_id` log JSON.
`@fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	Dipetakan langsung dari kolom `@fields.privatecloud_name` log JSON.
`@fields.procid`	`event.idm.read_only_udm.principal.process.pid`	Dipetakan langsung dari kolom `@fields.procid` log JSON.
`@fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	Dipetakan langsung dari kolom `@fields.region_id` log JSON.
`@fields.severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan dari kolom `@fields.severity` log JSON. Jika nilainya "info" atau yang serupa, nilai tersebut akan dipetakan ke "INFORMATIONAL".
`@timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai dan dikonversi menjadi objek stempel waktu dari kolom `@timestamp` log menggunakan filter `date`.
`adapter`	`event.idm.read_only_udm.target.resource.name`	Dipetakan langsung dari kolom `adapter` log mentah.
`action`	`event.idm.read_only_udm.security_result.action`	Dipetakan langsung dari kolom `action` log mentah. Nilai seperti "ALLOW" dan "BLOCK" digunakan.
`action`	`event.idm.read_only_udm.security_result.action_details`	Dipetakan langsung dari kolom `action` log mentah. Nilai seperti "Redirect" digunakan.
`administrative_domain`	`event.idm.read_only_udm.principal.administrative_domain`	Dipetakan langsung dari kolom `administrative_domain` log mentah.
`agent.hostname`	`event.idm.read_only_udm.intermediary.hostname`	Dipetakan langsung dari kolom `agent.hostname` log JSON.
`agent.id`	`event.idm.read_only_udm.intermediary.asset.id`	Dipetakan langsung dari kolom `agent.id` log JSON.
`agent.name`	`event.idm.read_only_udm.intermediary.asset.name`	Dipetakan langsung dari kolom `agent.name` log JSON.
`agent.type`	`event.idm.read_only_udm.intermediary.asset.type`	Dipetakan langsung dari kolom `agent.type` log JSON.
`agent.version`	`event.idm.read_only_udm.intermediary.asset.version`	Dipetakan langsung dari kolom `agent.version` log JSON.
`app_name`	`event.idm.read_only_udm.principal.application`	Dipetakan langsung dari kolom `app_name` log mentah.
`app_protocol`	`event.idm.read_only_udm.network.application_protocol`	Dipetakan langsung dari kolom `app_protocol` log mentah. Jika nilai cocok dengan "http" (tidak peka huruf besar/kecil), nilai tersebut akan dipetakan ke "HTTP".
`application`	`event.idm.read_only_udm.principal.application`	Dipetakan langsung dari kolom `program` log JSON.
`cmd`	`event.idm.read_only_udm.target.process.command_line`	Dipetakan langsung dari kolom `cmd` log mentah.
`collection_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Nanodetik dari kolom `collection_time` ditambahkan ke detik dari kolom `collection_time` untuk membuat `event_timestamp`.
`data`	`event.idm.read_only_udm.metadata.description`	Pesan log mentah diuraikan dan bagian yang relevan diekstrak untuk mengisi kolom deskripsi.
`descrip`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `descrip` log mentah.
`dns.answers.data`	`event.idm.read_only_udm.network.dns.answers.data`	Dipetakan langsung dari kolom `dns.answers.data` log JSON.
`dns.answers.ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	Dipetakan langsung dari kolom `dns.answers.ttl` log JSON.
`dns.answers.type`	`event.idm.read_only_udm.network.dns.answers.type`	Dipetakan langsung dari kolom `dns.answers.type` log JSON.
`dns.questions.name`	`event.idm.read_only_udm.network.dns.questions.name`	Dipetakan langsung dari kolom `dns.questions.name` log JSON.
`dns.questions.type`	`event.idm.read_only_udm.network.dns.questions.type`	Dipetakan langsung dari kolom `dns.questions.type` log JSON.
`dns.response`	`event.idm.read_only_udm.network.dns.response`	Dipetakan langsung dari kolom `dns.response` log JSON.
`ecs.version`	`event.idm.read_only_udm.metadata.product_version`	Dipetakan langsung dari kolom `ecs.version` log JSON.
`event_message`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `event_message` log JSON.
`event_metadata`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Kolom `event_metadata` diuraikan untuk mengekstrak nilai `opID`, yang kemudian ditambahkan dengan "opID:" dan dipetakan ke UDM.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Dipetakan langsung dari kolom `event_type` log JSON.
`filepath`	`event.idm.read_only_udm.target.file.full_path`	Dipetakan langsung dari kolom `filepath` log mentah.
`fields.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Dipetakan langsung dari kolom `fields.company_name` log JSON.
`fields.facility`	`event.idm.read_only_udm.principal.resource.type`	Dipetakan langsung dari kolom `fields.facility` log JSON.
`fields.host`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `fields.host` log JSON.
`fields.privatecloud_id`	`event.idm.read_only_udm.principal.cloud.project.id`	Dipetakan langsung dari kolom `fields.privatecloud_id` log JSON.
`fields.privatecloud_name`	`event.idm.read_only_udm.principal.cloud.project.name`	Dipetakan langsung dari kolom `fields.privatecloud_name` log JSON.
`fields.procid`	`event.idm.read_only_udm.principal.process.pid`	Dipetakan langsung dari kolom `fields.procid` log JSON.
`fields.region_id`	`event.idm.read_only_udm.principal.location.country_or_region`	Dipetakan langsung dari kolom `fields.region_id` log JSON.
`fields.severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan dari kolom `fields.severity` log JSON. Jika nilainya "info" atau yang serupa, nilai tersebut akan dipetakan ke "INFORMATIONAL".
`host.architecture`	`event.idm.read_only_udm.principal.asset.architecture`	Dipetakan langsung dari kolom `host.architecture` log JSON.
`host.containerized`	`event.idm.read_only_udm.principal.asset.containerized`	Dipetakan langsung dari kolom `host.containerized` log JSON.
`host.hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `host.hostname` log JSON.
`host.id`	`event.idm.read_only_udm.principal.asset.id`	Dipetakan langsung dari kolom `host.id` log JSON.
`host.ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `host.ip` log JSON.
`host.mac`	`event.idm.read_only_udm.principal.mac`, `event.idm.read_only_udm.principal.asset.mac`	Dipetakan langsung dari kolom `host.mac` log JSON.
`host.name`	`event.idm.read_only_udm.principal.asset.name`	Dipetakan langsung dari kolom `host.name` log JSON.
`host.os.codename`	`event.idm.read_only_udm.principal.asset.os.codename`	Dipetakan langsung dari kolom `host.os.codename` log JSON.
`host.os.family`	`event.idm.read_only_udm.principal.asset.os.family`	Dipetakan langsung dari kolom `host.os.family` log JSON.
`host.os.kernel`	`event.idm.read_only_udm.principal.asset.os.kernel`	Dipetakan langsung dari kolom `host.os.kernel` log JSON.
`host.os.name`	`event.idm.read_only_udm.principal.asset.os.name`	Dipetakan langsung dari kolom `host.os.name` log JSON.
`host.os.platform`	`event.idm.read_only_udm.principal.asset.os.platform`	Dipetakan langsung dari kolom `host.os.platform` log JSON.
`host.os.version`	`event.idm.read_only_udm.principal.asset.os.version`	Dipetakan langsung dari kolom `host.os.version` log JSON.
`iporhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `iporhost` log mentah.
`iporhost`	`event.idm.read_only_udm.principal.ip`	Dipetakan langsung dari kolom `iporhost` log mentah jika berupa alamat IP.
`iporhost1`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `iporhost1` log mentah.
`kv_data1`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Kolom `kv_data1` diuraikan untuk mengekstrak nilai `opID` atau `sub`, yang kemudian diawali dengan "opID:" atau "sub:" dan dipetakan ke UDM.
`kv_msg`	`event.idm.read_only_udm.additional.fields`	Kolom `kv_msg` diuraikan sebagai pasangan nilai kunci dan ditambahkan ke array `additional_fields` di UDM.
`kv_msg1`	`event.idm.read_only_udm.additional.fields`	Kolom `kv_msg1` diuraikan sebagai pasangan nilai kunci dan ditambahkan ke array `additional_fields` di UDM.
`lbdn`	`event.idm.read_only_udm.target.hostname`	Dipetakan langsung dari kolom `lbdn` log mentah.
`log.source.address`	`event.idm.read_only_udm.observer.hostname`	Dipetakan langsung dari kolom `log.source.address` log JSON, hanya mengambil bagian nama host.
`log_event.original`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `event.original` log JSON.
`log_level`	`event.idm.read_only_udm.security_result.severity_details`	Dipetakan langsung dari kolom `log_level` log JSON.
`logstash.collect.host`	`event.idm.read_only_udm.observer.hostname`	Dipetakan langsung dari kolom `logstash.collect.host` log JSON.
`logstash.collect.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Diurai dan dikonversi menjadi objek stempel waktu dari kolom `logstash.collect.timestamp` log menggunakan filter `date`.
`logstash.ingest.host`	`event.idm.read_only_udm.intermediary.hostname`	Dipetakan langsung dari kolom `logstash.ingest.host` log JSON.
`logstash.ingest.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Diurai dan dikonversi menjadi objek stempel waktu dari kolom `logstash.ingest.timestamp` log menggunakan filter `date`.
`logstash.process.host`	`event.idm.read_only_udm.intermediary.hostname`	Dipetakan langsung dari kolom `logstash.process.host` log JSON.
`logstash.process.timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Diurai dan dikonversi menjadi objek stempel waktu dari kolom `logstash.process.timestamp` log menggunakan filter `date`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Dipetakan langsung dari kolom `log_type` log mentah.
`message`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `message` log JSON.
`message_to_process`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `message_to_process` log mentah.
`metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Awalnya ditetapkan ke "GENERIC_EVENT", lalu berpotensi ditimpa berdasarkan `service` yang diuraikan atau konten log lainnya. Dapat berupa nilai seperti `PROCESS_LAUNCH`, `NETWORK_CONNECTION`, `USER_LOGIN`, dll.
`metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan langsung dari kolom `process_id` atau `prod_event_type` log mentah.
`metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `event_id` log mentah.
`metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Tetapkan ke "ESX".
`metadata.product_version`	`event.idm.read_only_udm.metadata.product_version`	Dipetakan langsung dari kolom `version` log JSON.
`metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Tetapkan ke "VMWARE".
`msg`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `msg` log mentah.
`network.application_protocol`	`event.idm.read_only_udm.network.application_protocol`	Tetapkan ke "DNS" jika `service` "bernama", "HTTPS" jika port-nya 443, atau "HTTP" jika `app_protocol` cocok dengan "http".
`network.direction`	`event.idm.read_only_udm.network.direction`	Ditentukan dari kata kunci dalam log mentah, seperti "IN", "OUT", "->". Dapat berupa `INBOUND` atau `OUTBOUND`.
`network.http.method`	`event.idm.read_only_udm.network.http.method`	Dipetakan langsung dari kolom `method` log mentah.
`network.http.parsed_user_agent`	`event.idm.read_only_udm.network.http.parsed_user_agent`	Diurai dari kolom `useragent` menggunakan filter `convert`.
`network.http.referral_url`	`event.idm.read_only_udm.network.http.referral_url`	Dipetakan langsung dari kolom `prin_url` log mentah.
`network.http.response_code`	`event.idm.read_only_udm.network.http.response_code`	Dipetakan langsung dari kolom `status_code` log mentah dan dikonversi menjadi bilangan bulat.
`network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `useragent` log mentah.
`network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Ditentukan dari kata kunci dalam log mentah, seperti "TCP", "UDP".
`network.received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Dipetakan langsung dari kolom `rec_bytes` log mentah dan dikonversi menjadi bilangan bulat tanpa tanda tangan.
`network.sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Diekstrak dari kolom `message_to_process` log mentah.
`network.session_id`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kolom `session` log mentah.
`pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	Dipetakan langsung dari kolom `pid` log mentah.
`pid`	`event.idm.read_only_udm.principal.process.pid`	Dipetakan langsung dari kolom `pid` log JSON.
`pid`	`event.idm.read_only_udm.target.process.pid`	Dipetakan langsung dari kolom `pid` log mentah.
`port`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `port` log JSON.
`principal.application`	`event.idm.read_only_udm.principal.application`	Dipetakan langsung dari kolom `app_name` atau `service` log mentah.
`principal.asset.hostname`	`event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `principal_hostname` atau `iporhost` log mentah.
`principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `syslog_ip` log mentah.
`principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Dipetakan langsung dari kolom `principal_hostname` atau `iporhost` log mentah.
`principal.ip`	`event.idm.read_only_udm.principal.ip`	Dipetakan langsung dari kolom `iporhost` atau `syslog_ip` log mentah.
`principal.port`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `srcport` log mentah.
`principal.process.command_line`	`event.idm.read_only_udm.principal.process.command_line`	Dipetakan langsung dari kolom `cmd` log mentah.
`principal.process.parent_process.pid`	`event.idm.read_only_udm.principal.process.parent_process.pid`	Dipetakan langsung dari kolom `parent_pid` log mentah.
`principal.process.pid`	`event.idm.read_only_udm.principal.process.pid`	Dipetakan langsung dari kolom `process_id` log mentah.
`principal.process.product_specific_process_id`	`event.idm.read_only_udm.principal.process.product_specific_process_id`	Diekstrak dari kolom `message_to_process` log mentah, biasanya diawali dengan "opID:".
`principal.url`	`event.idm.read_only_udm.principal.url`	Dipetakan langsung dari kolom `prin_url` log mentah.
`principal.user.company_name`	`event.idm.read_only_udm.principal.user.company_name`	Dipetakan langsung dari kolom `fields.company_name` log JSON.
`principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `USER` log mentah.
`priority`	`event.idm.read_only_udm.metadata.product_event_type`	Dipetakan langsung dari kolom `priority` log mentah.
`program`	`event.idm.read_only_udm.principal.application`	Dipetakan langsung dari kolom `program` log JSON.
`qname`	`event.idm.read_only_udm.network.dns.questions.name`	Dipetakan langsung dari kolom `qname` log mentah.
`response_data`	`event.idm.read_only_udm.network.dns.answers.data`	Dipetakan langsung dari kolom `response_data` log mentah.
`response_rtype`	`event.idm.read_only_udm.network.dns.answers.type`	Dipetakan langsung dari kolom `response_rtype` log mentah. Jenis data DNS numerik diekstrak.
`response_ttl`	`event.idm.read_only_udm.network.dns.answers.ttl`	Dipetakan langsung dari kolom `response_ttl` log mentah.
`rtype`	`event.idm.read_only_udm.network.dns.questions.type`	Dipetakan langsung dari kolom `rtype` log mentah. Jenis data DNS numerik diekstrak.
`security_result.action`	`event.idm.read_only_udm.security_result.action`	Ditentukan dari kata kunci atau status dalam log mentah. Dapat berupa `ALLOW` atau `BLOCK`.
`security_result.action_details`	`event.idm.read_only_udm.security_result.action_details`	Diekstrak dari pesan log mentah, yang memberikan lebih banyak konteks tentang tindakan yang diambil.
`security_result.category`	`event.idm.read_only_udm.security_result.category`	Tetapkan ke `POLICY_VIOLATION` jika log menunjukkan kecocokan aturan firewall.
`security_result.description`	`event.idm.read_only_udm.security_result.description`	Diekstrak dari pesan log mentah, yang memberikan lebih banyak konteks tentang hasil keamanan.
`security_result.rule_id`	`event.idm.read_only_udm.security_result.rule_id`	Dipetakan langsung dari kolom `rule_id` log mentah.
`security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Ditentukan dari kata kunci dalam log mentah, seperti "info", "peringatan", "error". Dapat berupa `INFORMATIONAL`, `LOW`, `MEDIUM`, atau `HIGH`.
`security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Dipetakan langsung dari kolom `severity` atau `log.syslog.severity.name` log mentah.
`security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Diekstrak dari pesan log mentah, yang memberikan ringkasan ringkas tentang hasil keamanan.
`service`	`event.idm.read_only_udm.principal.application`	Dipetakan langsung dari kolom `service` log mentah.
`source`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `source` log mentah.
`src.file.full_path`	`event.idm.read_only_udm.src.file.full_path`	Diekstrak dari pesan log mentah.
`src.hostname`	`event.idm.read_only_udm.src.hostname`	Dipetakan langsung dari kolom `src.hostname` log mentah.
`src_ip`	`event.idm.read_only_udm.principal.ip`	Dipetakan langsung dari kolom `src_ip` log mentah.
`src_mac_address`	`event.idm.read_only_udm.principal.mac`	Dipetakan langsung dari kolom `src_mac_address` log mentah.
`srcport`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `srcport` log mentah.
`srcip`	`event.idm.read_only_udm.principal.ip`	Dipetakan langsung dari kolom `srcip` log mentah.
`subtype`	`event.idm.read_only_udm.metadata.event_type`	Dipetakan langsung dari kolom `subtype` log mentah.
`tags`	`event.idm.read_only_udm.metadata.tags`	Dipetakan langsung dari kolom `tags` log JSON.
`target.application`	`event.idm.read_only_udm.target.application`	Dipetakan langsung dari kolom `target_application` log mentah.
`target.file.full_path`	`event.idm.read_only_udm.target.file.full_path`	Diekstrak dari pesan log mentah.
`target.hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Dipetakan langsung dari kolom `target_hostname` atau `iporhost` log mentah.
`target.ip`	`event.idm.read_only_udm.target.ip`	Dipetakan langsung dari kolom `target_ip` log mentah.
`target.mac`	`event.idm.read_only_udm.target.mac`	Dipetakan langsung dari kolom `target_mac_address` log mentah.
`target.port`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `target_port` log mentah.
`target.process.command_line`	`event.idm.read_only_udm.target.process.command_line`	Dipetakan langsung dari kolom `cmd` log mentah.
`target.process.parent_process.pid`	`event.idm.read_only_udm.target.process.parent_process.pid`	Dipetakan langsung dari kolom `parent_pid` log mentah.
`target.process.pid`	`event.idm.read_only_udm.target.process.pid`	Dipetakan langsung dari kolom `pid` log mentah.
`target.process.product_specific_process_id`	`event.idm.read_only_udm.target.process.product_specific_process_id`	Diekstrak dari kolom `message_to_process` log mentah, biasanya diawali dengan "opID:".
`target.resource.name`	`event.idm.read_only_udm.target.resource.name`	Dipetakan langsung dari kolom `adapter` log mentah.
`target.resource.resource_type`	`event.idm.read_only_udm.target.resource.resource_type`	Tetapkan ke `VIRTUAL_MACHINE` jika log menunjukkan operasi VM.
`target.resource.type`	`event.idm.read_only_udm.target.resource.type`	Tetapkan ke `SETTING` jika log menunjukkan perubahan setelan.
`target.user.userid`	`event.idm.read_only_udm.target.user.userid`	Dipetakan langsung dari kolom `target_username` atau `user1` log mentah.
`timestamp`	`event.timestamp`	Diurai dan dikonversi menjadi objek stempel waktu dari kolom `timestamp` atau `data` log menggunakan filter `date`.
`type`	`event.idm.read_only_udm.additional.fields`	Kolom `type` log ditambahkan ke array `additional_fields` di UDM dengan kunci "LogType".
`user1`	`event.idm.read_only_udm.target.user.userid`	Dipetakan langsung dari kolom `user1` log mentah.
`useragent`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `useragent` log mentah.
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	Dipetakan langsung dari kolom `vmw_cluster` log mentah.
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.name`	Dipetakan langsung dari kolom `vmw_datacenter` log mentah.
`vmw_host`	`event.idm.read_only_udm.target.ip`	Dipetakan langsung dari kolom `vmw_host` log mentah.
`vmw_object_id`	`event.idm.read_only_udm.target.resource.id`	Dipetakan langsung dari kolom `vmw_object_id` log mentah.
`vmw_product`	`event.idm.read_only_udm.target.application`	Dipetakan langsung dari kolom `vmw_product` log mentah.
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	Dipetakan langsung dari kolom `vmw_vcenter` log mentah.
`vmw_vcenter_id`	`event.idm.read_only_udm.target.cloud.availability_zone.id`	Dipetakan langsung dari kolom `vmw_vcenter_id` log mentah.
`vmw_vr_ops_appname`	`event.idm.read_only_udm.target.application`	Dipetakan langsung dari kolom `vmw_vr_ops_appname` log mentah.
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.target.resource.name`	Dipetakan langsung dari kolom `vmw_vr_ops_clustername` log mentah.
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.target.resource.type`	Dipetakan langsung dari kolom `vmw_vr_ops_clusterrole` log mentah.

Perubahan

2024-06-03

Menambahkan dukungan untuk pola log JSON baru.

2024-05-09

Menambahkan dukungan untuk pola baru log "snmpd" dan "Rhttpproxy".
Memetakan "prod_event_type" ke "metadata.product_event_type".
Memetakan "context" ke "additional.fields".

2024-02-07

Perbaikan Bug:
Menambahkan pola Grok baru untuk mendukung log SYSLOG yang dihapus.
Memetakan "newVersion" dan "filter" ke "security_result.detection_fields".
Memetakan "description" ke "security_result.description".

2023-10-10

Mengubah nama kunci JSON berikut menggunakan fungsi gsub:
"service" menjadi "serv".
"event" menjadi "log_event".
"@stempel waktu" menjadi "stempel waktu".
"@version" menjadi "version".
Menambahkan pola Grok baru untuk menangani log JSON dengan kolom baru.
Mencocokkan "stempel waktu" dengan format "RFC 3339" dan "TIMESTAMP_ISO8601".
Memetakan "host.hostname" ke "principal.hostname".
Memetakan "host.ip" ke "principal.ip".
Memetakan "type", "serv.type", "log.syslog.facility.code", "log.syslog.facility.name", "log.syslog.severity.code", "log.syslog.severity.name", dan "log.syslog.priority" ke "additional.fields".
Memetakan "process.name" ke "service".
Memetakan "version" ke "metadata.product_version".
Memetakan "severity" ke "security_result.severity".

2023-09-25

Menambahkan pola Grok baru untuk menangani jenis SYSLOG baru untuk VMware ESXi.
Memetakan "app_name" ke "principal.application".
Memetakan "severity" ke "security_result.severity".

2023-07-17

Perbaikan_bug - Memetakan "username" ke "target.user.userid".
Memetakan "pid" ke "principal.process.pid".
Memetakan "description" ke "metadata.description".

2023-06-12

Bug_fix - Pemetaan "session" yang diubah untuk jenis "vmauthd". Memetakannya ke "network.session_id".

2022-09-01

Perbaikan_bug - principal.namespace yang tidak dipetakan dari nilai hardcode-nya.

2022-08-24

Peningkatan - - Menambahkan jenis tanggal baru untuk mengurai tanggal dalam format "yyyy-MM-ddTHH:mm:s".

2022-08-03

Peningkatan - Menambahkan pola grok untuk menangani log dengan layanan :- hostd, vmon, dan vrops.

2022-07-26

Peningkatan -
Dengan "service" sama dengan "Rhttpproxy"
Pemetaan yang diubah untuk "principal.namespace" dari "namespace" menjadi "WALMART".
Memetakan "namespace" ke "additional.fields".
Dengan "service" sama dengan "crond"
Memetakan "parent_pid" ke "target.process.parent_process.pid".

2022-07-05

Perbaikan bug - Memperbarui parser agar cocok dengan stempel waktu dalam format "yyyy-MM-ddTHH:mm:ss.SSSS".

2022-06-13

Peningkatan - Mengubah/Menambahkan pola grok untuk menangani log dengan layanan :- hostd, sendmail, sshd, sudo, vmcad, vmon, vpxd, vrops.
Perbaikan bug - Mengubah "metadata.event_type" untuk log 'vmauthd' dari "USER_LOGIN" menjadi "GENERIC_EVENT".

2022-05-02

Perbaikan bug - Sesuai dengan persyaratan pengguna, pemetaan target.hostname diubah menjadi principal.ip untuk log yang memiliki layanan sebagai "Hostd".

13-04-2022

Peningkatan-Menguraikan log yang memiliki nama layanan berikut: hostd-probe, vmkernel, vmkwarning, Fdm, netcpa, root, hpHelper, snmpd, dll.
Memetakan logstash.ingest.timestamp ke metadata.ingested_timestamp,
logstash.ingest.host dan logstash.process.host ke intermediary.hostname,
logstash.collect.host ke observer.hostname.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.