Raccogliere i log di VMware ESXi
Panoramica
Questo parser estrae i campi dai log syslog e JSON di VMware ESXi. Normalizza la varietà di formati dei log ESXi in una struttura comune, quindi compila i campi UDM in base ai valori estratti, inclusa la gestione di casi specifici per diversi servizi ESXi come crond, named e sshd utilizzando i file include.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso privilegiato a VMWare ESX.
- Assicurati di avere Windows 2012 SP2 o versioni successive o un host Linux con systemd.
- Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
- Per l'installazione su Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
. - Per l'installazione su Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
. - Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
- Accedi al computer su cui è installato BindPlane.
Modifica il file
config.yaml
come segue:receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Riavviare BindPlane Agent per applicare le modifiche utilizzando il seguente comando:
sudo systemctl bindplane restart
Regola firewall ESXi che consente syslog
- Vai a Networking > Regole firewall.
- Individua syslog nella colonna Nome.
- Fai clic su Modifica impostazioni.
- Aggiorna la porta
tcp
oudp
che hai configurato in BindPlane. - Fai clic su Salva.
- Mantieni selezionata la riga syslog.
- Seleziona Azioni > Attiva.
Esportare Syslog da VMware ESXi utilizzando vSphere Client
- Accedi all'host ESXi utilizzando vSphere Client.
- Vai a Gestisci > Sistema > Impostazioni avanzate.
- Individua la chiave Syslog.global.logHost nell'elenco.
- Seleziona la chiave e fai clic su Modifica opzione.
- Inserisci
<protocol>://<destination_IP>:<port>
- Sostituisci
<protocol>
contcp
(se hai configurato BindPlane per l'utilizzo di UDP, digitaudp
). - Sostituisci
<destination_IP>
con l'indirizzo IP del tuo agente BindPlane. - Sostituisci
<port>
con la porta configurata in precedenza in BindPlane.
- Sostituisci
- Fai clic su Salva.
(Facoltativo) Esportare Syslog da VMware ESXi tramite SSH
- Connettiti all'host ESXi tramite SSH.
- Utilizza il comando
esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>
.- Sostituisci
<protocol>
contcp
(se hai configurato BindPlane per l'utilizzo di UDP, digitaudp
). - Sostituisci
<destination_IP>
con l'indirizzo IP del tuo agente BindPlane. - Sostituisci
<port>
con la porta configurata in precedenza in BindPlane.
- Sostituisci
- Riavvia il servizio syslog inserendo il comando
/etc/init.d/syslog restart
.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
@fields.alias |
event.idm.read_only_udm.principal.cloud.project.alias |
Mappato direttamente dal campo @fields.alias del log JSON. |
@fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
Mappato direttamente dal campo @fields.company_name del log JSON. |
@fields.facility |
event.idm.read_only_udm.principal.resource.type |
Mappato direttamente dal campo @fields.facility del log JSON. |
@fields.host |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo @fields.host del log JSON. |
@fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
Mappato direttamente dal campo @fields.privatecloud_id del log JSON. |
@fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
Mappato direttamente dal campo @fields.privatecloud_name del log JSON. |
@fields.procid |
event.idm.read_only_udm.principal.process.pid |
Mappato direttamente dal campo @fields.procid del log JSON. |
@fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
Mappato direttamente dal campo @fields.region_id del log JSON. |
@fields.severity |
event.idm.read_only_udm.security_result.severity |
Mappato dal campo @fields.severity del log JSON. Se il valore è "info" o simile, viene mappato a "INFORMATIONAL". |
@timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati e convertiti in un oggetto timestamp dal campo @timestamp del log utilizzando il filtro date . |
adapter |
event.idm.read_only_udm.target.resource.name |
Mappato direttamente dal campo adapter del log non elaborato. |
action |
event.idm.read_only_udm.security_result.action |
Mappato direttamente dal campo action del log non elaborato. Vengono utilizzati valori come "ALLOW" e "BLOCK". |
action |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente dal campo action del log non elaborato. Vengono utilizzati valori come "Redirect". |
administrative_domain |
event.idm.read_only_udm.principal.administrative_domain |
Mappato direttamente dal campo administrative_domain del log non elaborato. |
agent.hostname |
event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo agent.hostname del log JSON. |
agent.id |
event.idm.read_only_udm.intermediary.asset.id |
Mappato direttamente dal campo agent.id del log JSON. |
agent.name |
event.idm.read_only_udm.intermediary.asset.name |
Mappato direttamente dal campo agent.name del log JSON. |
agent.type |
event.idm.read_only_udm.intermediary.asset.type |
Mappato direttamente dal campo agent.type del log JSON. |
agent.version |
event.idm.read_only_udm.intermediary.asset.version |
Mappato direttamente dal campo agent.version del log JSON. |
app_name |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo app_name del log non elaborato. |
app_protocol |
event.idm.read_only_udm.network.application_protocol |
Mappato direttamente dal campo app_protocol del log non elaborato. Se il valore corrisponde a "http" (senza distinzione tra maiuscole e minuscole), viene mappato a "HTTP". |
application |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo program del log JSON. |
cmd |
event.idm.read_only_udm.target.process.command_line |
Mappato direttamente dal campo cmd del log non elaborato. |
collection_time |
event.idm.read_only_udm.metadata.event_timestamp |
I nanosecondi del campo collection_time vengono aggiunti ai secondi del campo collection_time per creare event_timestamp . |
data |
event.idm.read_only_udm.metadata.description |
Il messaggio di log non elaborato viene analizzato e le parti pertinenti vengono estratte per compilare il campo della descrizione. |
descrip |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo descrip del log non elaborato. |
dns.answers.data |
event.idm.read_only_udm.network.dns.answers.data |
Mappato direttamente dal campo dns.answers.data del log JSON. |
dns.answers.ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
Mappato direttamente dal campo dns.answers.ttl del log JSON. |
dns.answers.type |
event.idm.read_only_udm.network.dns.answers.type |
Mappato direttamente dal campo dns.answers.type del log JSON. |
dns.questions.name |
event.idm.read_only_udm.network.dns.questions.name |
Mappato direttamente dal campo dns.questions.name del log JSON. |
dns.questions.type |
event.idm.read_only_udm.network.dns.questions.type |
Mappato direttamente dal campo dns.questions.type del log JSON. |
dns.response |
event.idm.read_only_udm.network.dns.response |
Mappato direttamente dal campo dns.response del log JSON. |
ecs.version |
event.idm.read_only_udm.metadata.product_version |
Mappato direttamente dal campo ecs.version del log JSON. |
event_message |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo event_message del log JSON. |
event_metadata |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Il campo event_metadata viene analizzato per estrarre il valore opID , a cui viene anteposto "opID:" e mappato all'UDM. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Mappato direttamente dal campo event_type del log JSON. |
filepath |
event.idm.read_only_udm.target.file.full_path |
Mappato direttamente dal campo filepath del log non elaborato. |
fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
Mappato direttamente dal campo fields.company_name del log JSON. |
fields.facility |
event.idm.read_only_udm.principal.resource.type |
Mappato direttamente dal campo fields.facility del log JSON. |
fields.host |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo fields.host del log JSON. |
fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
Mappato direttamente dal campo fields.privatecloud_id del log JSON. |
fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
Mappato direttamente dal campo fields.privatecloud_name del log JSON. |
fields.procid |
event.idm.read_only_udm.principal.process.pid |
Mappato direttamente dal campo fields.procid del log JSON. |
fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
Mappato direttamente dal campo fields.region_id del log JSON. |
fields.severity |
event.idm.read_only_udm.security_result.severity |
Mappato dal campo fields.severity del log JSON. Se il valore è "info" o simile, viene mappato a "INFORMATIONAL". |
host.architecture |
event.idm.read_only_udm.principal.asset.architecture |
Mappato direttamente dal campo host.architecture del log JSON. |
host.containerized |
event.idm.read_only_udm.principal.asset.containerized |
Mappato direttamente dal campo host.containerized del log JSON. |
host.hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo host.hostname del log JSON. |
host.id |
event.idm.read_only_udm.principal.asset.id |
Mappato direttamente dal campo host.id del log JSON. |
host.ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo host.ip del log JSON. |
host.mac |
event.idm.read_only_udm.principal.mac , event.idm.read_only_udm.principal.asset.mac |
Mappato direttamente dal campo host.mac del log JSON. |
host.name |
event.idm.read_only_udm.principal.asset.name |
Mappato direttamente dal campo host.name del log JSON. |
host.os.codename |
event.idm.read_only_udm.principal.asset.os.codename |
Mappato direttamente dal campo host.os.codename del log JSON. |
host.os.family |
event.idm.read_only_udm.principal.asset.os.family |
Mappato direttamente dal campo host.os.family del log JSON. |
host.os.kernel |
event.idm.read_only_udm.principal.asset.os.kernel |
Mappato direttamente dal campo host.os.kernel del log JSON. |
host.os.name |
event.idm.read_only_udm.principal.asset.os.name |
Mappato direttamente dal campo host.os.name del log JSON. |
host.os.platform |
event.idm.read_only_udm.principal.asset.os.platform |
Mappato direttamente dal campo host.os.platform del log JSON. |
host.os.version |
event.idm.read_only_udm.principal.asset.os.version |
Mappato direttamente dal campo host.os.version del log JSON. |
iporhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo iporhost del log non elaborato. |
iporhost |
event.idm.read_only_udm.principal.ip |
Mappato direttamente dal campo iporhost del log non elaborato se si tratta di un indirizzo IP. |
iporhost1 |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo iporhost1 del log non elaborato. |
kv_data1 |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Il campo kv_data1 viene analizzato per estrarre il valore opID o sub , a cui viene anteposto rispettivamente "opID:" o "sub:" e mappato all'UDM. |
kv_msg |
event.idm.read_only_udm.additional.fields |
Il campo kv_msg viene analizzato come coppie chiave-valore e aggiunto all'array additional_fields nell'UDM. |
kv_msg1 |
event.idm.read_only_udm.additional.fields |
Il campo kv_msg1 viene analizzato come coppie chiave-valore e aggiunto all'array additional_fields nell'UDM. |
lbdn |
event.idm.read_only_udm.target.hostname |
Mappato direttamente dal campo lbdn del log non elaborato. |
log.source.address |
event.idm.read_only_udm.observer.hostname |
Mappato direttamente dal campo log.source.address del log JSON, tenendo conto solo della parte del nome host. |
log_event.original |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo event.original del log JSON. |
log_level |
event.idm.read_only_udm.security_result.severity_details |
Mappato direttamente dal campo log_level del log JSON. |
logstash.collect.host |
event.idm.read_only_udm.observer.hostname |
Mappato direttamente dal campo logstash.collect.host del log JSON. |
logstash.collect.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Analizzati e convertiti in un oggetto timestamp dal campo logstash.collect.timestamp del log utilizzando il filtro date . |
logstash.ingest.host |
event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo logstash.ingest.host del log JSON. |
logstash.ingest.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Analizzati e convertiti in un oggetto timestamp dal campo logstash.ingest.timestamp del log utilizzando il filtro date . |
logstash.process.host |
event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo logstash.process.host del log JSON. |
logstash.process.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Analizzati e convertiti in un oggetto timestamp dal campo logstash.process.timestamp del log utilizzando il filtro date . |
log_type |
event.idm.read_only_udm.metadata.log_type |
Mappato direttamente dal campo log_type del log non elaborato. |
message |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo message del log JSON. |
message_to_process |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo message_to_process del log non elaborato. |
metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Impostato inizialmente su "GENERIC_EVENT", quindi potenzialmente sovrascritto in base a service analizzato o altri contenuti del log. Possono essere valori come PROCESS_LAUNCH , NETWORK_CONNECTION , USER_LOGIN e così via. |
metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Mappato direttamente dal campo process_id o prod_event_type del log non elaborato. |
metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo event_id del log non elaborato. |
metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Imposta su "ESX". |
metadata.product_version |
event.idm.read_only_udm.metadata.product_version |
Mappato direttamente dal campo version del log JSON. |
metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Imposta su "VMWARE". |
msg |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo msg del log non elaborato. |
network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
Imposta su "DNS" se service è "named", su "HTTPS" se la porta è 443 o su "HTTP" se service corrisponde a "http".app_protocol |
network.direction |
event.idm.read_only_udm.network.direction |
Determinato dalle parole chiave nel log non elaborato, ad esempio "IN", "OUT", "->". Può essere INBOUND o OUTBOUND . |
network.http.method |
event.idm.read_only_udm.network.http.method |
Mappato direttamente dal campo method del log non elaborato. |
network.http.parsed_user_agent |
event.idm.read_only_udm.network.http.parsed_user_agent |
Analizzati dal campo useragent utilizzando il filtro convert . |
network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
Mappato direttamente dal campo prin_url del log non elaborato. |
network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
Mappato direttamente dal campo status_code del log non elaborato e convertito in un numero intero. |
network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo useragent del log non elaborato. |
network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Determinato dalle parole chiave nel log non elaborato, ad esempio "TCP", "UDP". |
network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
Mappato direttamente dal campo rec_bytes del log non elaborato e convertito in un numero intero non firmato. |
network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Estratto dal campo message_to_process del log non elaborato. |
network.session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo session del log non elaborato. |
pid |
event.idm.read_only_udm.target.process.parent_process.pid |
Mappato direttamente dal campo pid del log non elaborato. |
pid |
event.idm.read_only_udm.principal.process.pid |
Mappato direttamente dal campo pid del log JSON. |
pid |
event.idm.read_only_udm.target.process.pid |
Mappato direttamente dal campo pid del log non elaborato. |
port |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo port del log JSON. |
principal.application |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo app_name o service del log non elaborato. |
principal.asset.hostname |
event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo principal_hostname o iporhost del log non elaborato. |
principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo syslog_ip del log non elaborato. |
principal.hostname |
event.idm.read_only_udm.principal.hostname |
Mappato direttamente dal campo principal_hostname o iporhost del log non elaborato. |
principal.ip |
event.idm.read_only_udm.principal.ip |
Mappato direttamente dal campo iporhost o syslog_ip del log non elaborato. |
principal.port |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo srcport del log non elaborato. |
principal.process.command_line |
event.idm.read_only_udm.principal.process.command_line |
Mappato direttamente dal campo cmd del log non elaborato. |
principal.process.parent_process.pid |
event.idm.read_only_udm.principal.process.parent_process.pid |
Mappato direttamente dal campo parent_pid del log non elaborato. |
principal.process.pid |
event.idm.read_only_udm.principal.process.pid |
Mappato direttamente dal campo process_id del log non elaborato. |
principal.process.product_specific_process_id |
event.idm.read_only_udm.principal.process.product_specific_process_id |
Estratto dal campo message_to_process del log non elaborato, di solito preceduto da "opID:". |
principal.url |
event.idm.read_only_udm.principal.url |
Mappato direttamente dal campo prin_url del log non elaborato. |
principal.user.company_name |
event.idm.read_only_udm.principal.user.company_name |
Mappato direttamente dal campo fields.company_name del log JSON. |
principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo USER del log non elaborato. |
priority |
event.idm.read_only_udm.metadata.product_event_type |
Mappato direttamente dal campo priority del log non elaborato. |
program |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo program del log JSON. |
qname |
event.idm.read_only_udm.network.dns.questions.name |
Mappato direttamente dal campo qname del log non elaborato. |
response_data |
event.idm.read_only_udm.network.dns.answers.data |
Mappato direttamente dal campo response_data del log non elaborato. |
response_rtype |
event.idm.read_only_udm.network.dns.answers.type |
Mappato direttamente dal campo response_rtype del log non elaborato. Viene estratto il tipo di record DNS numerico. |
response_ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
Mappato direttamente dal campo response_ttl del log non elaborato. |
rtype |
event.idm.read_only_udm.network.dns.questions.type |
Mappato direttamente dal campo rtype del log non elaborato. Viene estratto il tipo di record DNS numerico. |
security_result.action |
event.idm.read_only_udm.security_result.action |
Determinato dalle parole chiave o dallo stato nel log non elaborato. Può essere ALLOW o BLOCK . |
security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
Estratto dal messaggio del log non elaborato, fornisce più contesto sull'azione intrapresa. |
security_result.category |
event.idm.read_only_udm.security_result.category |
Imposta su POLICY_VIOLATION se il log indica una corrispondenza con una regola firewall. |
security_result.description |
event.idm.read_only_udm.security_result.description |
Estratto dal messaggio di log non elaborato, fornisce più contesto sul risultato di sicurezza. |
security_result.rule_id |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo rule_id del log non elaborato. |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
Determinato dalle parole chiave nel log non elaborato, ad esempio "info", "warning", "error". Può essere INFORMATIONAL , LOW , MEDIUM o HIGH . |
security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
Mappato direttamente dal campo severity o log.syslog.severity.name del log non elaborato. |
security_result.summary |
event.idm.read_only_udm.security_result.summary |
Estratto dal messaggio di log non elaborato, fornisce un riepilogo conciso del risultato di sicurezza. |
service |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo service del log non elaborato. |
source |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo source del log non elaborato. |
src.file.full_path |
event.idm.read_only_udm.src.file.full_path |
Estratto dal messaggio del log non elaborato. |
src.hostname |
event.idm.read_only_udm.src.hostname |
Mappato direttamente dal campo src.hostname del log non elaborato. |
src_ip |
event.idm.read_only_udm.principal.ip |
Mappato direttamente dal campo src_ip del log non elaborato. |
src_mac_address |
event.idm.read_only_udm.principal.mac |
Mappato direttamente dal campo src_mac_address del log non elaborato. |
srcport |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo srcport del log non elaborato. |
srcip |
event.idm.read_only_udm.principal.ip |
Mappato direttamente dal campo srcip del log non elaborato. |
subtype |
event.idm.read_only_udm.metadata.event_type |
Mappato direttamente dal campo subtype del log non elaborato. |
tags |
event.idm.read_only_udm.metadata.tags |
Mappato direttamente dal campo tags del log JSON. |
target.application |
event.idm.read_only_udm.target.application |
Mappato direttamente dal campo target_application del log non elaborato. |
target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
Estratto dal messaggio del log non elaborato. |
target.hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Mappato direttamente dal campo target_hostname o iporhost del log non elaborato. |
target.ip |
event.idm.read_only_udm.target.ip |
Mappato direttamente dal campo target_ip del log non elaborato. |
target.mac |
event.idm.read_only_udm.target.mac |
Mappato direttamente dal campo target_mac_address del log non elaborato. |
target.port |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo target_port del log non elaborato. |
target.process.command_line |
event.idm.read_only_udm.target.process.command_line |
Mappato direttamente dal campo cmd del log non elaborato. |
target.process.parent_process.pid |
event.idm.read_only_udm.target.process.parent_process.pid |
Mappato direttamente dal campo parent_pid del log non elaborato. |
target.process.pid |
event.idm.read_only_udm.target.process.pid |
Mappato direttamente dal campo pid del log non elaborato. |
target.process.product_specific_process_id |
event.idm.read_only_udm.target.process.product_specific_process_id |
Estratto dal campo message_to_process del log non elaborato, di solito preceduto da "opID:". |
target.resource.name |
event.idm.read_only_udm.target.resource.name |
Mappato direttamente dal campo adapter del log non elaborato. |
target.resource.resource_type |
event.idm.read_only_udm.target.resource.resource_type |
Imposta su VIRTUAL_MACHINE se il log indica un'operazione della VM. |
target.resource.type |
event.idm.read_only_udm.target.resource.type |
Imposta su SETTING se il log indica una modifica dell'impostazione. |
target.user.userid |
event.idm.read_only_udm.target.user.userid |
Mappato direttamente dal campo target_username o user1 del log non elaborato. |
timestamp |
event.timestamp |
Analizzati e convertiti in un oggetto timestamp dal campo timestamp o data del log utilizzando il filtro date . |
type |
event.idm.read_only_udm.additional.fields |
Il campo type del log viene aggiunto all'array additional_fields nell'UDM con la chiave "LogType". |
user1 |
event.idm.read_only_udm.target.user.userid |
Mappato direttamente dal campo user1 del log non elaborato. |
useragent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo useragent del log non elaborato. |
vmw_cluster |
event.idm.read_only_udm.target.resource.name |
Mappato direttamente dal campo vmw_cluster del log non elaborato. |
vmw_datacenter |
event.idm.read_only_udm.target.resource.name |
Mappato direttamente dal campo vmw_datacenter del log non elaborato. |
vmw_host |
event.idm.read_only_udm.target.ip |
Mappato direttamente dal campo vmw_host del log non elaborato. |
vmw_object_id |
event.idm.read_only_udm.target.resource.id |
Mappato direttamente dal campo vmw_object_id del log non elaborato. |
vmw_product |
event.idm.read_only_udm.target.application |
Mappato direttamente dal campo vmw_product del log non elaborato. |
vmw_vcenter |
event.idm.read_only_udm.target.cloud.availability_zone |
Mappato direttamente dal campo vmw_vcenter del log non elaborato. |
vmw_vcenter_id |
event.idm.read_only_udm.target.cloud.availability_zone.id |
Mappato direttamente dal campo vmw_vcenter_id del log non elaborato. |
vmw_vr_ops_appname |
event.idm.read_only_udm.target.application |
Mappato direttamente dal campo vmw_vr_ops_appname del log non elaborato. |
vmw_vr_ops_clustername |
event.idm.read_only_udm.target.resource.name |
Mappato direttamente dal campo vmw_vr_ops_clustername del log non elaborato. |
vmw_vr_ops_clusterrole |
event.idm.read_only_udm.target.resource.type |
Mappato direttamente dal campo vmw_vr_ops_clusterrole del log non elaborato. |
Modifiche
2024-06-03
- È stato aggiunto il supporto di un nuovo pattern di log JSON.
2024-05-09
- È stato aggiunto il supporto per il nuovo pattern dei log "snmpd" e "Rhttpproxy".
- "prod_event_type" è stato mappato a "metadata.product_event_type".
- "context" è stato mappato a "additional.fields".
2024-02-07
- Correzione di bug:
- Sono stati aggiunti nuovi pattern Grok per supportare i log SYSLOG che vengono eliminati.
- "newVersion" e "filter" sono stati mappati a "security_result.detection_fields".
- "description" è stato mappato a "security_result.description".
2023-10-10
- Sono stati modificati i seguenti nomi delle chiavi JSON utilizzando la funzione gsub:
- "service" in "serv".
- "event" a "log_event".
- "@timestamp" a "timestamp".
- "@version" a "version".
- Sono stati aggiunti nuovi pattern Grok per gestire i log JSON con nuovi campi.
- Il valore "timestamp" è stato associato ai formati "RFC 3339" e "TIMESTAMP_ISO8601".
- "host.hostname" è stato mappato a "principal.hostname".
- "host.ip" è stato mappato a "principal.ip".
- "type", "serv.type", "log.syslog.facility.code", "log.syslog.facility.name", "log.syslog.severity.code", "log.syslog.severity.name" e "log.syslog.priority" sono stati mappati a "additional.fields".
- "process.name" è stato mappato a "service".
- "version" è stato mappato a "metadata.product_version".
- "severity" è stato mappato a "security_result.severity".
2023-09-25
- Sono stati aggiunti nuovi pattern Grok per gestire il nuovo tipo di SYSLOG per VMware ESXi.
- "app_name" è stato mappato a "principal.application".
- "severity" è stato mappato a "security_result.severity".
2023-07-17
- Bug_fix: è stato mappato "username" a "target.user.userid".
- "pid" è stato mappato a "principal.process.pid".
- "description" è stato mappato a "metadata.description".
2023-06-12
- Bug_fix: mappatura modificata di "session" per il tipo "vmauthd". È stato mappato a "network.session_id".
2022-09-01
- Bug_fix: spazio dei nomi principal.namespace non mappato dal valore hardcoded.
2022-08-24
- Miglioramento: è stato aggiunto un nuovo tipo di data per analizzare le date nel formato "aaaa-MM-ggTHH:mm:s".
2022-08-03
- Miglioramento: sono stati aggiunti i pattern Grok per gestire i log con il servizio: hostd, vmon e vrops.
2022-07-26
- Miglioramento:
- Dove "service" è uguale a "Rhttpproxy"
- Mappatura modificata per "principal.namespace" da "namespace" a "WALMART".
- "namespace" è stato mappato a "additional.fields".
- Dove "service" è uguale a "crond"
- "parent_pid" è stato mappato a "target.process.parent_process.pid".
2022-07-05
- Correzione di bug: il parser è stato aggiornato in modo che corrisponda al timestamp nel formato "aaaa-MM-ggThh:mm:ss.SSSS".
2022-06-13
- Miglioramento: sono stati modificati/aggiunti i pattern Grok per gestire i log con il servizio: hostd, sendmail, sshd, sudo, vmcad, vmon, vpxd, vrops.
- Correzione di bug: modifica di "metadata.event_type" per i log di "vmauthd" da "USER_LOGIN" a "GENERIC_EVENT".
2022-05-02
- Correzione di bug: in base al requisito dell'utente, la mappatura target.hostname è stata modificata in principal.ip per i log il cui servizio è "Hostd".
2022-04-13
- Miglioramento: sono stati analizzati i log con i seguenti nomi di servizio: hostd-probe, vmkernel, vmkwarning, Fdm, netcpa, root, hpHelper, snmpd e così via.
- Ho mappato logstash.ingest.timestamp a metadata.ingested_timestamp,
- logstash.ingest.host e logstash.process.host a intermediary.hostname,
- logstash.collect.host a observer.hostname.