Mengumpulkan log VMware ESXi
Ringkasan
Parser ini mengekstrak kolom dari syslog VMware ESXi dan log berformat JSON. Alat ini menormalisasi berbagai format log ESXi ke dalam struktur umum, lalu mengisi kolom UDM berdasarkan nilai yang diekstrak, termasuk menangani kasus tertentu untuk berbagai layanan ESXi seperti crond, named, dan sshd menggunakan file include.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke VMWare ESX.
- Pastikan Anda memiliki Windows 2012 SP2 atau yang lebih baru atau host Linux dengan systemd.
- Jika berjalan di balik proxy, pastikan port firewall terbuka.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Collection Agents.
- Download File Autentikasi Proses Transfer.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen BindPlane
- Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.
Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps
- Akses komputer tempat BindPlane diinstal.
Edit file
config.yaml
sebagai berikut:receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Mulai ulang Agen BindPlane untuk menerapkan perubahan menggunakan perintah berikut:
sudo systemctl bindplane restart
Mengizinkan aturan firewall syslog ESXi
- Buka Networking > Firewall rules.
- Temukan syslog di kolom Nama.
- Klik Edit setelan.
- Perbarui port
tcp
atauudp
yang telah Anda konfigurasikan di BindPlane. - Klik Save.
- Biarkan baris syslog dipilih.
- Pilih Tindakan > Aktifkan.
Mengekspor Syslog dari VMware ESXi menggunakan vSphere Client
- Login ke host ESXi menggunakan vSphere Client.
- Buka Kelola > Sistem > Setelan Lanjutan.
- Temukan kunci Syslog.global.logHost dalam daftar.
- Pilih kunci dan klik Edit option.
- Masukkan
<protocol>://<destination_IP>:<port>
- Ganti
<protocol>
dengantcp
(jika Anda mengonfigurasi BindPlane untuk menggunakan UDP, ketikudp
). - Ganti
<destination_IP>
dengan alamat IP Agen BindPlane Anda. - Ganti
<port>
dengan port yang sebelumnya disiapkan di BindPlane.
- Ganti
- Klik Save.
Opsional: Mengekspor Syslog dari VMware ESXi menggunakan SSH
- Hubungkan ke host ESXi menggunakan SSH.
- Gunakan perintah
esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>
.- Ganti
<protocol>
dengantcp
(jika Anda mengonfigurasi BindPlane untuk menggunakan UDP, ketikudp
). - Ganti
<destination_IP>
dengan alamat IP Agen BindPlane Anda. - Ganti
<port>
dengan port yang sebelumnya disiapkan di BindPlane.
- Ganti
- Mulai ulang layanan syslog dengan memasukkan perintah
/etc/init.d/syslog restart
.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
@fields.alias |
event.idm.read_only_udm.principal.cloud.project.alias |
Dipetakan langsung dari kolom @fields.alias log JSON. |
@fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
Dipetakan langsung dari kolom @fields.company_name log JSON. |
@fields.facility |
event.idm.read_only_udm.principal.resource.type |
Dipetakan langsung dari kolom @fields.facility log JSON. |
@fields.host |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom @fields.host log JSON. |
@fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
Dipetakan langsung dari kolom @fields.privatecloud_id log JSON. |
@fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
Dipetakan langsung dari kolom @fields.privatecloud_name log JSON. |
@fields.procid |
event.idm.read_only_udm.principal.process.pid |
Dipetakan langsung dari kolom @fields.procid log JSON. |
@fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
Dipetakan langsung dari kolom @fields.region_id log JSON. |
@fields.severity |
event.idm.read_only_udm.security_result.severity |
Dipetakan dari kolom @fields.severity log JSON. Jika nilainya "info" atau yang serupa, nilai tersebut akan dipetakan ke "INFORMATIONAL". |
@timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dan dikonversi menjadi objek stempel waktu dari kolom @timestamp log menggunakan filter date . |
adapter |
event.idm.read_only_udm.target.resource.name |
Dipetakan langsung dari kolom adapter log mentah. |
action |
event.idm.read_only_udm.security_result.action |
Dipetakan langsung dari kolom action log mentah. Nilai seperti "ALLOW" dan "BLOCK" digunakan. |
action |
event.idm.read_only_udm.security_result.action_details |
Dipetakan langsung dari kolom action log mentah. Nilai seperti "Redirect" digunakan. |
administrative_domain |
event.idm.read_only_udm.principal.administrative_domain |
Dipetakan langsung dari kolom administrative_domain log mentah. |
agent.hostname |
event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom agent.hostname log JSON. |
agent.id |
event.idm.read_only_udm.intermediary.asset.id |
Dipetakan langsung dari kolom agent.id log JSON. |
agent.name |
event.idm.read_only_udm.intermediary.asset.name |
Dipetakan langsung dari kolom agent.name log JSON. |
agent.type |
event.idm.read_only_udm.intermediary.asset.type |
Dipetakan langsung dari kolom agent.type log JSON. |
agent.version |
event.idm.read_only_udm.intermediary.asset.version |
Dipetakan langsung dari kolom agent.version log JSON. |
app_name |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom app_name log mentah. |
app_protocol |
event.idm.read_only_udm.network.application_protocol |
Dipetakan langsung dari kolom app_protocol log mentah. Jika nilai cocok dengan "http" (tidak peka huruf besar/kecil), nilai tersebut akan dipetakan ke "HTTP". |
application |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom program log JSON. |
cmd |
event.idm.read_only_udm.target.process.command_line |
Dipetakan langsung dari kolom cmd log mentah. |
collection_time |
event.idm.read_only_udm.metadata.event_timestamp |
Nanodetik dari kolom collection_time ditambahkan ke detik dari kolom collection_time untuk membuat event_timestamp . |
data |
event.idm.read_only_udm.metadata.description |
Pesan log mentah diuraikan dan bagian yang relevan diekstrak untuk mengisi kolom deskripsi. |
descrip |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom descrip log mentah. |
dns.answers.data |
event.idm.read_only_udm.network.dns.answers.data |
Dipetakan langsung dari kolom dns.answers.data log JSON. |
dns.answers.ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
Dipetakan langsung dari kolom dns.answers.ttl log JSON. |
dns.answers.type |
event.idm.read_only_udm.network.dns.answers.type |
Dipetakan langsung dari kolom dns.answers.type log JSON. |
dns.questions.name |
event.idm.read_only_udm.network.dns.questions.name |
Dipetakan langsung dari kolom dns.questions.name log JSON. |
dns.questions.type |
event.idm.read_only_udm.network.dns.questions.type |
Dipetakan langsung dari kolom dns.questions.type log JSON. |
dns.response |
event.idm.read_only_udm.network.dns.response |
Dipetakan langsung dari kolom dns.response log JSON. |
ecs.version |
event.idm.read_only_udm.metadata.product_version |
Dipetakan langsung dari kolom ecs.version log JSON. |
event_message |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom event_message log JSON. |
event_metadata |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Kolom event_metadata diuraikan untuk mengekstrak nilai opID , yang kemudian ditambahkan dengan "opID:" dan dipetakan ke UDM. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Dipetakan langsung dari kolom event_type log JSON. |
filepath |
event.idm.read_only_udm.target.file.full_path |
Dipetakan langsung dari kolom filepath log mentah. |
fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
Dipetakan langsung dari kolom fields.company_name log JSON. |
fields.facility |
event.idm.read_only_udm.principal.resource.type |
Dipetakan langsung dari kolom fields.facility log JSON. |
fields.host |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom fields.host log JSON. |
fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
Dipetakan langsung dari kolom fields.privatecloud_id log JSON. |
fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
Dipetakan langsung dari kolom fields.privatecloud_name log JSON. |
fields.procid |
event.idm.read_only_udm.principal.process.pid |
Dipetakan langsung dari kolom fields.procid log JSON. |
fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
Dipetakan langsung dari kolom fields.region_id log JSON. |
fields.severity |
event.idm.read_only_udm.security_result.severity |
Dipetakan dari kolom fields.severity log JSON. Jika nilainya "info" atau yang serupa, nilai tersebut akan dipetakan ke "INFORMATIONAL". |
host.architecture |
event.idm.read_only_udm.principal.asset.architecture |
Dipetakan langsung dari kolom host.architecture log JSON. |
host.containerized |
event.idm.read_only_udm.principal.asset.containerized |
Dipetakan langsung dari kolom host.containerized log JSON. |
host.hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom host.hostname log JSON. |
host.id |
event.idm.read_only_udm.principal.asset.id |
Dipetakan langsung dari kolom host.id log JSON. |
host.ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom host.ip log JSON. |
host.mac |
event.idm.read_only_udm.principal.mac , event.idm.read_only_udm.principal.asset.mac |
Dipetakan langsung dari kolom host.mac log JSON. |
host.name |
event.idm.read_only_udm.principal.asset.name |
Dipetakan langsung dari kolom host.name log JSON. |
host.os.codename |
event.idm.read_only_udm.principal.asset.os.codename |
Dipetakan langsung dari kolom host.os.codename log JSON. |
host.os.family |
event.idm.read_only_udm.principal.asset.os.family |
Dipetakan langsung dari kolom host.os.family log JSON. |
host.os.kernel |
event.idm.read_only_udm.principal.asset.os.kernel |
Dipetakan langsung dari kolom host.os.kernel log JSON. |
host.os.name |
event.idm.read_only_udm.principal.asset.os.name |
Dipetakan langsung dari kolom host.os.name log JSON. |
host.os.platform |
event.idm.read_only_udm.principal.asset.os.platform |
Dipetakan langsung dari kolom host.os.platform log JSON. |
host.os.version |
event.idm.read_only_udm.principal.asset.os.version |
Dipetakan langsung dari kolom host.os.version log JSON. |
iporhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom iporhost log mentah. |
iporhost |
event.idm.read_only_udm.principal.ip |
Dipetakan langsung dari kolom iporhost log mentah jika berupa alamat IP. |
iporhost1 |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom iporhost1 log mentah. |
kv_data1 |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Kolom kv_data1 diuraikan untuk mengekstrak nilai opID atau sub , yang kemudian diawali dengan "opID:" atau "sub:" dan dipetakan ke UDM. |
kv_msg |
event.idm.read_only_udm.additional.fields |
Kolom kv_msg diuraikan sebagai pasangan nilai kunci dan ditambahkan ke array additional_fields di UDM. |
kv_msg1 |
event.idm.read_only_udm.additional.fields |
Kolom kv_msg1 diuraikan sebagai pasangan nilai kunci dan ditambahkan ke array additional_fields di UDM. |
lbdn |
event.idm.read_only_udm.target.hostname |
Dipetakan langsung dari kolom lbdn log mentah. |
log.source.address |
event.idm.read_only_udm.observer.hostname |
Dipetakan langsung dari kolom log.source.address log JSON, hanya mengambil bagian nama host. |
log_event.original |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom event.original log JSON. |
log_level |
event.idm.read_only_udm.security_result.severity_details |
Dipetakan langsung dari kolom log_level log JSON. |
logstash.collect.host |
event.idm.read_only_udm.observer.hostname |
Dipetakan langsung dari kolom logstash.collect.host log JSON. |
logstash.collect.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Diurai dan dikonversi menjadi objek stempel waktu dari kolom logstash.collect.timestamp log menggunakan filter date . |
logstash.ingest.host |
event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom logstash.ingest.host log JSON. |
logstash.ingest.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Diurai dan dikonversi menjadi objek stempel waktu dari kolom logstash.ingest.timestamp log menggunakan filter date . |
logstash.process.host |
event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom logstash.process.host log JSON. |
logstash.process.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Diurai dan dikonversi menjadi objek stempel waktu dari kolom logstash.process.timestamp log menggunakan filter date . |
log_type |
event.idm.read_only_udm.metadata.log_type |
Dipetakan langsung dari kolom log_type log mentah. |
message |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom message log JSON. |
message_to_process |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom message_to_process log mentah. |
metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Awalnya ditetapkan ke "GENERIC_EVENT", lalu berpotensi ditimpa berdasarkan service yang diuraikan atau konten log lainnya. Dapat berupa nilai seperti PROCESS_LAUNCH , NETWORK_CONNECTION , USER_LOGIN , dll. |
metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Dipetakan langsung dari kolom process_id atau prod_event_type log mentah. |
metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom event_id log mentah. |
metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Tetapkan ke "ESX". |
metadata.product_version |
event.idm.read_only_udm.metadata.product_version |
Dipetakan langsung dari kolom version log JSON. |
metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Tetapkan ke "VMWARE". |
msg |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom msg log mentah. |
network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Tetapkan ke "DNS" jika service "bernama", "HTTPS" jika port-nya 443, atau "HTTP" jika app_protocol cocok dengan "http". |
network.direction |
event.idm.read_only_udm.network.direction |
Ditentukan dari kata kunci dalam log mentah, seperti "IN", "OUT", "->". Dapat berupa INBOUND atau OUTBOUND . |
network.http.method |
event.idm.read_only_udm.network.http.method |
Dipetakan langsung dari kolom method log mentah. |
network.http.parsed_user_agent |
event.idm.read_only_udm.network.http.parsed_user_agent |
Diurai dari kolom useragent menggunakan filter convert . |
network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Dipetakan langsung dari kolom prin_url log mentah. |
network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Dipetakan langsung dari kolom status_code log mentah dan dikonversi menjadi bilangan bulat. |
network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom useragent log mentah. |
network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Ditentukan dari kata kunci dalam log mentah, seperti "TCP", "UDP". |
network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Dipetakan langsung dari kolom rec_bytes log mentah dan dikonversi menjadi bilangan bulat tanpa tanda tangan. |
network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Diekstrak dari kolom message_to_process log mentah. |
network.session_id |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom session log mentah. |
pid |
event.idm.read_only_udm.target.process.parent_process.pid |
Dipetakan langsung dari kolom pid log mentah. |
pid |
event.idm.read_only_udm.principal.process.pid |
Dipetakan langsung dari kolom pid log JSON. |
pid |
event.idm.read_only_udm.target.process.pid |
Dipetakan langsung dari kolom pid log mentah. |
port |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom port log JSON. |
principal.application |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom app_name atau service log mentah. |
principal.asset.hostname |
event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom principal_hostname atau iporhost log mentah. |
principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom syslog_ip log mentah. |
principal.hostname |
event.idm.read_only_udm.principal.hostname |
Dipetakan langsung dari kolom principal_hostname atau iporhost log mentah. |
principal.ip |
event.idm.read_only_udm.principal.ip |
Dipetakan langsung dari kolom iporhost atau syslog_ip log mentah. |
principal.port |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom srcport log mentah. |
principal.process.command_line |
event.idm.read_only_udm.principal.process.command_line |
Dipetakan langsung dari kolom cmd log mentah. |
principal.process.parent_process.pid |
event.idm.read_only_udm.principal.process.parent_process.pid |
Dipetakan langsung dari kolom parent_pid log mentah. |
principal.process.pid |
event.idm.read_only_udm.principal.process.pid |
Dipetakan langsung dari kolom process_id log mentah. |
principal.process.product_specific_process_id |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Diekstrak dari kolom message_to_process log mentah, biasanya diawali dengan "opID:". |
principal.url |
event.idm.read_only_udm.principal.url |
Dipetakan langsung dari kolom prin_url log mentah. |
principal.user.company_name |
event.idm.read_only_udm.principal.user.company_name |
Dipetakan langsung dari kolom fields.company_name log JSON. |
principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom USER log mentah. |
priority |
event.idm.read_only_udm.metadata.product_event_type |
Dipetakan langsung dari kolom priority log mentah. |
program |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom program log JSON. |
qname |
event.idm.read_only_udm.network.dns.questions.name |
Dipetakan langsung dari kolom qname log mentah. |
response_data |
event.idm.read_only_udm.network.dns.answers.data |
Dipetakan langsung dari kolom response_data log mentah. |
response_rtype |
event.idm.read_only_udm.network.dns.answers.type |
Dipetakan langsung dari kolom response_rtype log mentah. Jenis data DNS numerik diekstrak. |
response_ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
Dipetakan langsung dari kolom response_ttl log mentah. |
rtype |
event.idm.read_only_udm.network.dns.questions.type |
Dipetakan langsung dari kolom rtype log mentah. Jenis data DNS numerik diekstrak. |
security_result.action |
event.idm.read_only_udm.security_result.action |
Ditentukan dari kata kunci atau status dalam log mentah. Dapat berupa ALLOW atau BLOCK . |
security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Diekstrak dari pesan log mentah, yang memberikan lebih banyak konteks tentang tindakan yang diambil. |
security_result.category |
event.idm.read_only_udm.security_result.category |
Tetapkan ke POLICY_VIOLATION jika log menunjukkan kecocokan aturan firewall. |
security_result.description |
event.idm.read_only_udm.security_result.description |
Diekstrak dari pesan log mentah, yang memberikan lebih banyak konteks tentang hasil keamanan. |
security_result.rule_id |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom rule_id log mentah. |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
Ditentukan dari kata kunci dalam log mentah, seperti "info", "peringatan", "error". Dapat berupa INFORMATIONAL , LOW , MEDIUM , atau HIGH . |
security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
Dipetakan langsung dari kolom severity atau log.syslog.severity.name log mentah. |
security_result.summary |
event.idm.read_only_udm.security_result.summary |
Diekstrak dari pesan log mentah, yang memberikan ringkasan ringkas tentang hasil keamanan. |
service |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom service log mentah. |
source |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom source log mentah. |
src.file.full_path |
event.idm.read_only_udm.src.file.full_path |
Diekstrak dari pesan log mentah. |
src.hostname |
event.idm.read_only_udm.src.hostname |
Dipetakan langsung dari kolom src.hostname log mentah. |
src_ip |
event.idm.read_only_udm.principal.ip |
Dipetakan langsung dari kolom src_ip log mentah. |
src_mac_address |
event.idm.read_only_udm.principal.mac |
Dipetakan langsung dari kolom src_mac_address log mentah. |
srcport |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom srcport log mentah. |
srcip |
event.idm.read_only_udm.principal.ip |
Dipetakan langsung dari kolom srcip log mentah. |
subtype |
event.idm.read_only_udm.metadata.event_type |
Dipetakan langsung dari kolom subtype log mentah. |
tags |
event.idm.read_only_udm.metadata.tags |
Dipetakan langsung dari kolom tags log JSON. |
target.application |
event.idm.read_only_udm.target.application |
Dipetakan langsung dari kolom target_application log mentah. |
target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Diekstrak dari pesan log mentah. |
target.hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Dipetakan langsung dari kolom target_hostname atau iporhost log mentah. |
target.ip |
event.idm.read_only_udm.target.ip |
Dipetakan langsung dari kolom target_ip log mentah. |
target.mac |
event.idm.read_only_udm.target.mac |
Dipetakan langsung dari kolom target_mac_address log mentah. |
target.port |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom target_port log mentah. |
target.process.command_line |
event.idm.read_only_udm.target.process.command_line |
Dipetakan langsung dari kolom cmd log mentah. |
target.process.parent_process.pid |
event.idm.read_only_udm.target.process.parent_process.pid |
Dipetakan langsung dari kolom parent_pid log mentah. |
target.process.pid |
event.idm.read_only_udm.target.process.pid |
Dipetakan langsung dari kolom pid log mentah. |
target.process.product_specific_process_id |
event.idm.read_only_udm.target.process.product_specific_process_id |
Diekstrak dari kolom message_to_process log mentah, biasanya diawali dengan "opID:". |
target.resource.name |
event.idm.read_only_udm.target.resource.name |
Dipetakan langsung dari kolom adapter log mentah. |
target.resource.resource_type |
event.idm.read_only_udm.target.resource.resource_type |
Tetapkan ke VIRTUAL_MACHINE jika log menunjukkan operasi VM. |
target.resource.type |
event.idm.read_only_udm.target.resource.type |
Tetapkan ke SETTING jika log menunjukkan perubahan setelan. |
target.user.userid |
event.idm.read_only_udm.target.user.userid |
Dipetakan langsung dari kolom target_username atau user1 log mentah. |
timestamp |
event.timestamp |
Diurai dan dikonversi menjadi objek stempel waktu dari kolom timestamp atau data log menggunakan filter date . |
type |
event.idm.read_only_udm.additional.fields |
Kolom type log ditambahkan ke array additional_fields di UDM dengan kunci "LogType". |
user1 |
event.idm.read_only_udm.target.user.userid |
Dipetakan langsung dari kolom user1 log mentah. |
useragent |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom useragent log mentah. |
vmw_cluster |
event.idm.read_only_udm.target.resource.name |
Dipetakan langsung dari kolom vmw_cluster log mentah. |
vmw_datacenter |
event.idm.read_only_udm.target.resource.name |
Dipetakan langsung dari kolom vmw_datacenter log mentah. |
vmw_host |
event.idm.read_only_udm.target.ip |
Dipetakan langsung dari kolom vmw_host log mentah. |
vmw_object_id |
event.idm.read_only_udm.target.resource.id |
Dipetakan langsung dari kolom vmw_object_id log mentah. |
vmw_product |
event.idm.read_only_udm.target.application |
Dipetakan langsung dari kolom vmw_product log mentah. |
vmw_vcenter |
event.idm.read_only_udm.target.cloud.availability_zone |
Dipetakan langsung dari kolom vmw_vcenter log mentah. |
vmw_vcenter_id |
event.idm.read_only_udm.target.cloud.availability_zone.id |
Dipetakan langsung dari kolom vmw_vcenter_id log mentah. |
vmw_vr_ops_appname |
event.idm.read_only_udm.target.application |
Dipetakan langsung dari kolom vmw_vr_ops_appname log mentah. |
vmw_vr_ops_clustername |
event.idm.read_only_udm.target.resource.name |
Dipetakan langsung dari kolom vmw_vr_ops_clustername log mentah. |
vmw_vr_ops_clusterrole |
event.idm.read_only_udm.target.resource.type |
Dipetakan langsung dari kolom vmw_vr_ops_clusterrole log mentah. |
Perubahan
2024-06-03
- Menambahkan dukungan untuk pola log JSON baru.
2024-05-09
- Menambahkan dukungan untuk pola baru log "snmpd" dan "Rhttpproxy".
- Memetakan "prod_event_type" ke "metadata.product_event_type".
- Memetakan "context" ke "additional.fields".
2024-02-07
- Perbaikan Bug:
- Menambahkan pola Grok baru untuk mendukung log SYSLOG yang dihapus.
- Memetakan "newVersion" dan "filter" ke "security_result.detection_fields".
- Memetakan "description" ke "security_result.description".
2023-10-10
- Mengubah nama kunci JSON berikut menggunakan fungsi gsub:
- "service" menjadi "serv".
- "event" menjadi "log_event".
- "@stempel waktu" menjadi "stempel waktu".
- "@version" menjadi "version".
- Menambahkan pola Grok baru untuk menangani log JSON dengan kolom baru.
- Mencocokkan "stempel waktu" dengan format "RFC 3339" dan "TIMESTAMP_ISO8601".
- Memetakan "host.hostname" ke "principal.hostname".
- Memetakan "host.ip" ke "principal.ip".
- Memetakan "type", "serv.type", "log.syslog.facility.code", "log.syslog.facility.name", "log.syslog.severity.code", "log.syslog.severity.name", dan "log.syslog.priority" ke "additional.fields".
- Memetakan "process.name" ke "service".
- Memetakan "version" ke "metadata.product_version".
- Memetakan "severity" ke "security_result.severity".
2023-09-25
- Menambahkan pola Grok baru untuk menangani jenis SYSLOG baru untuk VMware ESXi.
- Memetakan "app_name" ke "principal.application".
- Memetakan "severity" ke "security_result.severity".
2023-07-17
- Perbaikan_bug - Memetakan "username" ke "target.user.userid".
- Memetakan "pid" ke "principal.process.pid".
- Memetakan "description" ke "metadata.description".
2023-06-12
- Bug_fix - Pemetaan "session" yang diubah untuk jenis "vmauthd". Memetakannya ke "network.session_id".
2022-09-01
- Perbaikan_bug - principal.namespace yang tidak dipetakan dari nilai hardcode-nya.
2022-08-24
- Peningkatan - - Menambahkan jenis tanggal baru untuk mengurai tanggal dalam format "yyyy-MM-ddTHH:mm:s".
2022-08-03
- Peningkatan - Menambahkan pola grok untuk menangani log dengan layanan :- hostd, vmon, dan vrops.
2022-07-26
- Peningkatan -
- Dengan "service" sama dengan "Rhttpproxy"
- Pemetaan yang diubah untuk "principal.namespace" dari "namespace" menjadi "WALMART".
- Memetakan "namespace" ke "additional.fields".
- Dengan "service" sama dengan "crond"
- Memetakan "parent_pid" ke "target.process.parent_process.pid".
2022-07-05
- Perbaikan bug - Memperbarui parser agar cocok dengan stempel waktu dalam format "yyyy-MM-ddTHH:mm:ss.SSSS".
2022-06-13
- Peningkatan - Mengubah/Menambahkan pola grok untuk menangani log dengan layanan :- hostd, sendmail, sshd, sudo, vmcad, vmon, vpxd, vrops.
- Perbaikan bug - Mengubah "metadata.event_type" untuk log 'vmauthd' dari "USER_LOGIN" menjadi "GENERIC_EVENT".
2022-05-02
- Perbaikan bug - Sesuai dengan persyaratan pengguna, pemetaan target.hostname diubah menjadi principal.ip untuk log yang memiliki layanan sebagai "Hostd".
2022-04-13
- Peningkatan-Menguraikan log yang memiliki nama layanan berikut: hostd-probe, vmkernel, vmkwarning, Fdm, netcpa, root, hpHelper, snmpd, dll.
- Memetakan logstash.ingest.timestamp ke metadata.ingested_timestamp,
- logstash.ingest.host dan logstash.process.host ke intermediary.hostname,
- logstash.collect.host ke observer.hostname.