VMware ESXi ログを収集する

以下でサポートされています。

概要

このパーサーは、VMware ESXi syslog と JSON 形式のログからフィールドを抽出します。さまざまな ESXi ログ形式を共通の構造に正規化し、抽出された値に基づいて UDM フィールドに入力します。これにより、include ファイルを使用して crondnamedsshd などのさまざまな ESXi サービスの特定のケースを処理できます。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • VMWare ESX に対する特権アクセス権があることを確認します。
  • Windows 2012 SP2 以降または systemd を搭載した Linux ホストがあることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプト msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet を実行します。
  2. Linux へのインストールの場合は、sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh スクリプトを実行します。
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

  1. BindPlane がインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
      tcplog:
        # Replace the below port <54525> and IP (0.0.0.0) with your specific values
        listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: 
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 次のコマンドを使用して BindPlane エージェントを再起動して、変更を適用します。sudo systemctl bindplane restart

syslog ESXi ファイアウォール ルールを許可する

  1. [Networking] > [Firewall rules] に移動します。
  2. [名前列] で [syslog] を見つけます。
  3. [設定を編集] をクリックします。
  4. BindPlane で構成した tcp ポートまたは udp ポートを更新します。
  5. [保存] をクリックします。
  6. syslog 行を選択したままにします。
  7. [アクション] > [有効にする] を選択します。

vSphere クライアントを使用して VMware ESXi から Syslog をエクスポートする

  1. vSphere Client を使用して ESXi ホストにログインします。
  2. [管理] > [システム] > [詳細設定] に移動します。
  3. リストで Syslog.global.logHost キーを見つけます。
  4. キーを選択し、[編集オプション] をクリックします。
  5. <protocol>://<destination_IP>:<port> と入力します
    • <protocol>tcp に置き換えます(UDP を使用するように BindPlane を構成した場合は、udp と入力します)。
    • <destination_IP> は、BindPlane エージェントの IP アドレスに置き換えます。
    • <port> は、BindPlane で以前に設定したポートに置き換えます。
  6. [保存] をクリックします。

省略可: SSH を使用して VMware ESXi から Syslog をエクスポートする

  1. SSH を使用して ESXi ホストに接続します。
  2. esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port> コマンドを使用します。
    • <protocol>tcp に置き換えます(UDP を使用するように BindPlane を構成した場合は、udp と入力します)。
    • <destination_IP> は、BindPlane エージェントの IP アドレスに置き換えます。
    • <port> は、BindPlane で以前に設定したポートに置き換えます。
  3. コマンド /etc/init.d/syslog restart を入力して、syslog サービスを再起動します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
@fields.alias event.idm.read_only_udm.principal.cloud.project.alias JSON ログの @fields.alias フィールドから直接マッピングされます。
@fields.company_name event.idm.read_only_udm.principal.user.company_name JSON ログの @fields.company_name フィールドから直接マッピングされます。
@fields.facility event.idm.read_only_udm.principal.resource.type JSON ログの @fields.facility フィールドから直接マッピングされます。
@fields.host event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname JSON ログの @fields.host フィールドから直接マッピングされます。
@fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id JSON ログの @fields.privatecloud_id フィールドから直接マッピングされます。
@fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name JSON ログの @fields.privatecloud_name フィールドから直接マッピングされます。
@fields.procid event.idm.read_only_udm.principal.process.pid JSON ログの @fields.procid フィールドから直接マッピングされます。
@fields.region_id event.idm.read_only_udm.principal.location.country_or_region JSON ログの @fields.region_id フィールドから直接マッピングされます。
@fields.severity event.idm.read_only_udm.security_result.severity JSON ログの @fields.severity フィールドからマッピングされます。値が「info」などの場合、「INFORMATIONAL」にマッピングされます。
@timestamp event.idm.read_only_udm.metadata.event_timestamp date フィルタを使用して、ログの @timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。
adapter event.idm.read_only_udm.target.resource.name 未加工ログの adapter フィールドから直接マッピングされます。
action event.idm.read_only_udm.security_result.action 未加工ログの action フィールドから直接マッピングされます。「ALLOW」や「BLOCK」などの値が使用されます。
action event.idm.read_only_udm.security_result.action_details 未加工ログの action フィールドから直接マッピングされます。「リダイレクト」などの値が使用されます。
administrative_domain event.idm.read_only_udm.principal.administrative_domain 未加工ログの administrative_domain フィールドから直接マッピングされます。
agent.hostname event.idm.read_only_udm.intermediary.hostname JSON ログの agent.hostname フィールドから直接マッピングされます。
agent.id event.idm.read_only_udm.intermediary.asset.id JSON ログの agent.id フィールドから直接マッピングされます。
agent.name event.idm.read_only_udm.intermediary.asset.name JSON ログの agent.name フィールドから直接マッピングされます。
agent.type event.idm.read_only_udm.intermediary.asset.type JSON ログの agent.type フィールドから直接マッピングされます。
agent.version event.idm.read_only_udm.intermediary.asset.version JSON ログの agent.version フィールドから直接マッピングされます。
app_name event.idm.read_only_udm.principal.application 未加工ログの app_name フィールドから直接マッピングされます。
app_protocol event.idm.read_only_udm.network.application_protocol 未加工ログの app_protocol フィールドから直接マッピングされます。値が「http」と一致する場合(大文字と小文字は区別されません)、値は「HTTP」にマッピングされます。
application event.idm.read_only_udm.principal.application JSON ログの program フィールドから直接マッピングされます。
cmd event.idm.read_only_udm.target.process.command_line 未加工ログの cmd フィールドから直接マッピングされます。
collection_time event.idm.read_only_udm.metadata.event_timestamp collection_time フィールドのナノ秒が collection_time フィールドの秒に加算され、event_timestamp が作成されます。
data event.idm.read_only_udm.metadata.description 未加工のログ メッセージが解析され、関連部分が抽出されて説明フィールドに入力されます。
descrip event.idm.read_only_udm.metadata.description 未加工ログの descrip フィールドから直接マッピングされます。
dns.answers.data event.idm.read_only_udm.network.dns.answers.data JSON ログの dns.answers.data フィールドから直接マッピングされます。
dns.answers.ttl event.idm.read_only_udm.network.dns.answers.ttl JSON ログの dns.answers.ttl フィールドから直接マッピングされます。
dns.answers.type event.idm.read_only_udm.network.dns.answers.type JSON ログの dns.answers.type フィールドから直接マッピングされます。
dns.questions.name event.idm.read_only_udm.network.dns.questions.name JSON ログの dns.questions.name フィールドから直接マッピングされます。
dns.questions.type event.idm.read_only_udm.network.dns.questions.type JSON ログの dns.questions.type フィールドから直接マッピングされます。
dns.response event.idm.read_only_udm.network.dns.response JSON ログの dns.response フィールドから直接マッピングされます。
ecs.version event.idm.read_only_udm.metadata.product_version JSON ログの ecs.version フィールドから直接マッピングされます。
event_message event.idm.read_only_udm.metadata.description JSON ログの event_message フィールドから直接マッピングされます。
event_metadata event.idm.read_only_udm.principal.process.product_specific_process_id event_metadata フィールドが解析され、opID 値が抽出されます。この値は「opID:」が先頭に追加され、UDM にマッピングされます。
event_type event.idm.read_only_udm.metadata.event_type JSON ログの event_type フィールドから直接マッピングされます。
filepath event.idm.read_only_udm.target.file.full_path 未加工ログの filepath フィールドから直接マッピングされます。
fields.company_name event.idm.read_only_udm.principal.user.company_name JSON ログの fields.company_name フィールドから直接マッピングされます。
fields.facility event.idm.read_only_udm.principal.resource.type JSON ログの fields.facility フィールドから直接マッピングされます。
fields.host event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname JSON ログの fields.host フィールドから直接マッピングされます。
fields.privatecloud_id event.idm.read_only_udm.principal.cloud.project.id JSON ログの fields.privatecloud_id フィールドから直接マッピングされます。
fields.privatecloud_name event.idm.read_only_udm.principal.cloud.project.name JSON ログの fields.privatecloud_name フィールドから直接マッピングされます。
fields.procid event.idm.read_only_udm.principal.process.pid JSON ログの fields.procid フィールドから直接マッピングされます。
fields.region_id event.idm.read_only_udm.principal.location.country_or_region JSON ログの fields.region_id フィールドから直接マッピングされます。
fields.severity event.idm.read_only_udm.security_result.severity JSON ログの fields.severity フィールドからマッピングされます。値が「info」などの場合、「INFORMATIONAL」にマッピングされます。
host.architecture event.idm.read_only_udm.principal.asset.architecture JSON ログの host.architecture フィールドから直接マッピングされます。
host.containerized event.idm.read_only_udm.principal.asset.containerized JSON ログの host.containerized フィールドから直接マッピングされます。
host.hostname event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname JSON ログの host.hostname フィールドから直接マッピングされます。
host.id event.idm.read_only_udm.principal.asset.id JSON ログの host.id フィールドから直接マッピングされます。
host.ip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip JSON ログの host.ip フィールドから直接マッピングされます。
host.mac event.idm.read_only_udm.principal.macevent.idm.read_only_udm.principal.asset.mac JSON ログの host.mac フィールドから直接マッピングされます。
host.name event.idm.read_only_udm.principal.asset.name JSON ログの host.name フィールドから直接マッピングされます。
host.os.codename event.idm.read_only_udm.principal.asset.os.codename JSON ログの host.os.codename フィールドから直接マッピングされます。
host.os.family event.idm.read_only_udm.principal.asset.os.family JSON ログの host.os.family フィールドから直接マッピングされます。
host.os.kernel event.idm.read_only_udm.principal.asset.os.kernel JSON ログの host.os.kernel フィールドから直接マッピングされます。
host.os.name event.idm.read_only_udm.principal.asset.os.name JSON ログの host.os.name フィールドから直接マッピングされます。
host.os.platform event.idm.read_only_udm.principal.asset.os.platform JSON ログの host.os.platform フィールドから直接マッピングされます。
host.os.version event.idm.read_only_udm.principal.asset.os.version JSON ログの host.os.version フィールドから直接マッピングされます。
iporhost event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 未加工ログの iporhost フィールドから直接マッピングされます。
iporhost event.idm.read_only_udm.principal.ip 未加工ログの iporhost フィールドから直接マッピングされます(IP アドレスの場合)。
iporhost1 event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 未加工ログの iporhost1 フィールドから直接マッピングされます。
kv_data1 event.idm.read_only_udm.principal.process.product_specific_process_id kv_data1 フィールドが解析され、opID 値または sub 値が抽出されます。この値はそれぞれ「opID:」または「sub:」が先頭に追加され、UDM にマッピングされます。
kv_msg event.idm.read_only_udm.additional.fields kv_msg フィールドは Key-Value ペアとして解析され、UDM の additional_fields 配列に追加されます。
kv_msg1 event.idm.read_only_udm.additional.fields kv_msg1 フィールドは Key-Value ペアとして解析され、UDM の additional_fields 配列に追加されます。
lbdn event.idm.read_only_udm.target.hostname 未加工ログの lbdn フィールドから直接マッピングされます。
log.source.address event.idm.read_only_udm.observer.hostname JSON ログの log.source.address フィールドから直接マッピングされ、ホスト名の部分のみが使用されます。
log_event.original event.idm.read_only_udm.metadata.description JSON ログの event.original フィールドから直接マッピングされます。
log_level event.idm.read_only_udm.security_result.severity_details JSON ログの log_level フィールドから直接マッピングされます。
logstash.collect.host event.idm.read_only_udm.observer.hostname JSON ログの logstash.collect.host フィールドから直接マッピングされます。
logstash.collect.timestamp event.idm.read_only_udm.metadata.ingested_timestamp date フィルタを使用して、ログの logstash.collect.timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。
logstash.ingest.host event.idm.read_only_udm.intermediary.hostname JSON ログの logstash.ingest.host フィールドから直接マッピングされます。
logstash.ingest.timestamp event.idm.read_only_udm.metadata.ingested_timestamp date フィルタを使用して、ログの logstash.ingest.timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。
logstash.process.host event.idm.read_only_udm.intermediary.hostname JSON ログの logstash.process.host フィールドから直接マッピングされます。
logstash.process.timestamp event.idm.read_only_udm.metadata.ingested_timestamp date フィルタを使用して、ログの logstash.process.timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。
log_type event.idm.read_only_udm.metadata.log_type 未加工ログの log_type フィールドから直接マッピングされます。
message event.idm.read_only_udm.metadata.description JSON ログの message フィールドから直接マッピングされます。
message_to_process event.idm.read_only_udm.metadata.description 未加工ログの message_to_process フィールドから直接マッピングされます。
metadata.event_type event.idm.read_only_udm.metadata.event_type 最初は「GENERIC_EVENT」に設定され、解析された service やその他のログ コンテンツに基づいて上書きされる可能性があります。PROCESS_LAUNCHNETWORK_CONNECTIONUSER_LOGIN などの値にできます。
metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type 元のログの process_id フィールドまたは prod_event_type フィールドから直接マッピングされます。
metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id 未加工ログの event_id フィールドから直接マッピングされます。
metadata.product_name event.idm.read_only_udm.metadata.product_name 「ESX」に設定します。
metadata.product_version event.idm.read_only_udm.metadata.product_version JSON ログの version フィールドから直接マッピングされます。
metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name 「VMWARE」に設定します。
msg event.idm.read_only_udm.metadata.description 未加工ログの msg フィールドから直接マッピングされます。
network.application_protocol event.idm.read_only_udm.network.application_protocol service が「named」の場合は「DNS」、ポートが 443 の場合は「HTTPS」、app_protocol が「http」と一致する場合は「HTTP」に設定します。
network.direction event.idm.read_only_udm.network.direction 未加工ログ内のキーワード(「IN」、「OUT」、「->」など)から決定されます。INBOUND または OUTBOUND にできます。
network.http.method event.idm.read_only_udm.network.http.method 未加工ログの method フィールドから直接マッピングされます。
network.http.parsed_user_agent event.idm.read_only_udm.network.http.parsed_user_agent convert フィルタを使用して useragent フィールドから解析されます。
network.http.referral_url event.idm.read_only_udm.network.http.referral_url 未加工ログの prin_url フィールドから直接マッピングされます。
network.http.response_code event.idm.read_only_udm.network.http.response_code 元のログの status_code フィールドから直接マッピングされ、整数に変換されます。
network.http.user_agent event.idm.read_only_udm.network.http.user_agent 未加工ログの useragent フィールドから直接マッピングされます。
network.ip_protocol event.idm.read_only_udm.network.ip_protocol 未加工ログ内のキーワード(「TCP」、「UDP」など)から判断されます。
network.received_bytes event.idm.read_only_udm.network.received_bytes 元のログの rec_bytes フィールドから直接マッピングされ、符号なし整数に変換されます。
network.sent_bytes event.idm.read_only_udm.network.sent_bytes 未加工ログの message_to_process フィールドから抽出されます。
network.session_id event.idm.read_only_udm.network.session_id 未加工ログの session フィールドから直接マッピングされます。
pid event.idm.read_only_udm.target.process.parent_process.pid 未加工ログの pid フィールドから直接マッピングされます。
pid event.idm.read_only_udm.principal.process.pid JSON ログの pid フィールドから直接マッピングされます。
pid event.idm.read_only_udm.target.process.pid 未加工ログの pid フィールドから直接マッピングされます。
port event.idm.read_only_udm.target.port JSON ログの port フィールドから直接マッピングされます。
principal.application event.idm.read_only_udm.principal.application 元のログの app_name フィールドまたは service フィールドから直接マッピングされます。
principal.asset.hostname event.idm.read_only_udm.principal.asset.hostname 元のログの principal_hostname フィールドまたは iporhost フィールドから直接マッピングされます。
principal.asset.ip event.idm.read_only_udm.principal.asset.ip 未加工ログの syslog_ip フィールドから直接マッピングされます。
principal.hostname event.idm.read_only_udm.principal.hostname 元のログの principal_hostname フィールドまたは iporhost フィールドから直接マッピングされます。
principal.ip event.idm.read_only_udm.principal.ip 元のログの iporhost フィールドまたは syslog_ip フィールドから直接マッピングされます。
principal.port event.idm.read_only_udm.principal.port 未加工ログの srcport フィールドから直接マッピングされます。
principal.process.command_line event.idm.read_only_udm.principal.process.command_line 未加工ログの cmd フィールドから直接マッピングされます。
principal.process.parent_process.pid event.idm.read_only_udm.principal.process.parent_process.pid 未加工ログの parent_pid フィールドから直接マッピングされます。
principal.process.pid event.idm.read_only_udm.principal.process.pid 未加工ログの process_id フィールドから直接マッピングされます。
principal.process.product_specific_process_id event.idm.read_only_udm.principal.process.product_specific_process_id 元のログの message_to_process フィールドから抽出されます。通常は「opID:」という接頭辞が付いています。
principal.url event.idm.read_only_udm.principal.url 未加工ログの prin_url フィールドから直接マッピングされます。
principal.user.company_name event.idm.read_only_udm.principal.user.company_name JSON ログの fields.company_name フィールドから直接マッピングされます。
principal.user.userid event.idm.read_only_udm.principal.user.userid 未加工ログの USER フィールドから直接マッピングされます。
priority event.idm.read_only_udm.metadata.product_event_type 未加工ログの priority フィールドから直接マッピングされます。
program event.idm.read_only_udm.principal.application JSON ログの program フィールドから直接マッピングされます。
qname event.idm.read_only_udm.network.dns.questions.name 未加工ログの qname フィールドから直接マッピングされます。
response_data event.idm.read_only_udm.network.dns.answers.data 未加工ログの response_data フィールドから直接マッピングされます。
response_rtype event.idm.read_only_udm.network.dns.answers.type 未加工ログの response_rtype フィールドから直接マッピングされます。数値の DNS レコードタイプが抽出されます。
response_ttl event.idm.read_only_udm.network.dns.answers.ttl 未加工ログの response_ttl フィールドから直接マッピングされます。
rtype event.idm.read_only_udm.network.dns.questions.type 未加工ログの rtype フィールドから直接マッピングされます。数値の DNS レコードタイプが抽出されます。
security_result.action event.idm.read_only_udm.security_result.action 未加工ログ内のキーワードまたはステータスから判断されます。ALLOW または BLOCK のいずれかです。
security_result.action_details event.idm.read_only_udm.security_result.action_details 未加工のログ メッセージから抽出され、実行されたアクションに関する詳細なコンテキストを提供します。
security_result.category event.idm.read_only_udm.security_result.category ログでファイアウォール ルールの一致が示されている場合は、POLICY_VIOLATION に設定します。
security_result.description event.idm.read_only_udm.security_result.description 未加工のログ メッセージから抽出され、セキュリティ結果に関する詳細なコンテキストを提供します。
security_result.rule_id event.idm.read_only_udm.security_result.rule_id 未加工ログの rule_id フィールドから直接マッピングされます。
security_result.severity event.idm.read_only_udm.security_result.severity 未加工ログ内のキーワード(「info」、「warning」、「error」など)から判断されます。INFORMATIONALLOWMEDIUMHIGH のいずれかです。
security_result.severity_details event.idm.read_only_udm.security_result.severity_details 元のログの severity フィールドまたは log.syslog.severity.name フィールドから直接マッピングされます。
security_result.summary event.idm.read_only_udm.security_result.summary 生のログメッセージから抽出され、セキュリティ結果の簡潔な概要を提供します。
service event.idm.read_only_udm.principal.application 未加工ログの service フィールドから直接マッピングされます。
source event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 未加工ログの source フィールドから直接マッピングされます。
src.file.full_path event.idm.read_only_udm.src.file.full_path 未加工のログ メッセージから抽出されます。
src.hostname event.idm.read_only_udm.src.hostname 未加工ログの src.hostname フィールドから直接マッピングされます。
src_ip event.idm.read_only_udm.principal.ip 未加工ログの src_ip フィールドから直接マッピングされます。
src_mac_address event.idm.read_only_udm.principal.mac 未加工ログの src_mac_address フィールドから直接マッピングされます。
srcport event.idm.read_only_udm.principal.port 未加工ログの srcport フィールドから直接マッピングされます。
srcip event.idm.read_only_udm.principal.ip 未加工ログの srcip フィールドから直接マッピングされます。
subtype event.idm.read_only_udm.metadata.event_type 未加工ログの subtype フィールドから直接マッピングされます。
tags event.idm.read_only_udm.metadata.tags JSON ログの tags フィールドから直接マッピングされます。
target.application event.idm.read_only_udm.target.application 未加工ログの target_application フィールドから直接マッピングされます。
target.file.full_path event.idm.read_only_udm.target.file.full_path 未加工のログ メッセージから抽出されます。
target.hostname event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostname 元のログの target_hostname フィールドまたは iporhost フィールドから直接マッピングされます。
target.ip event.idm.read_only_udm.target.ip 未加工ログの target_ip フィールドから直接マッピングされます。
target.mac event.idm.read_only_udm.target.mac 未加工ログの target_mac_address フィールドから直接マッピングされます。
target.port event.idm.read_only_udm.target.port 未加工ログの target_port フィールドから直接マッピングされます。
target.process.command_line event.idm.read_only_udm.target.process.command_line 未加工ログの cmd フィールドから直接マッピングされます。
target.process.parent_process.pid event.idm.read_only_udm.target.process.parent_process.pid 未加工ログの parent_pid フィールドから直接マッピングされます。
target.process.pid event.idm.read_only_udm.target.process.pid 未加工ログの pid フィールドから直接マッピングされます。
target.process.product_specific_process_id event.idm.read_only_udm.target.process.product_specific_process_id 元のログの message_to_process フィールドから抽出されます。通常は「opID:」という接頭辞が付いています。
target.resource.name event.idm.read_only_udm.target.resource.name 未加工ログの adapter フィールドから直接マッピングされます。
target.resource.resource_type event.idm.read_only_udm.target.resource.resource_type ログが VM オペレーションを示している場合は、VIRTUAL_MACHINE に設定します。
target.resource.type event.idm.read_only_udm.target.resource.type ログに設定の変更が示されている場合は SETTING に設定します。
target.user.userid event.idm.read_only_udm.target.user.userid 元のログの target_username フィールドまたは user1 フィールドから直接マッピングされます。
timestamp event.timestamp date フィルタを使用して、ログの timestamp フィールドまたは data フィールドから解析され、タイムスタンプ オブジェクトに変換されます。
type event.idm.read_only_udm.additional.fields ログの type フィールドは、UDM の additional_fields 配列に「LogType」キーで追加されます。
user1 event.idm.read_only_udm.target.user.userid 未加工ログの user1 フィールドから直接マッピングされます。
useragent event.idm.read_only_udm.network.http.user_agent 未加工ログの useragent フィールドから直接マッピングされます。
vmw_cluster event.idm.read_only_udm.target.resource.name 未加工ログの vmw_cluster フィールドから直接マッピングされます。
vmw_datacenter event.idm.read_only_udm.target.resource.name 未加工ログの vmw_datacenter フィールドから直接マッピングされます。
vmw_host event.idm.read_only_udm.target.ip 未加工ログの vmw_host フィールドから直接マッピングされます。
vmw_object_id event.idm.read_only_udm.target.resource.id 未加工ログの vmw_object_id フィールドから直接マッピングされます。
vmw_product event.idm.read_only_udm.target.application 未加工ログの vmw_product フィールドから直接マッピングされます。
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone 未加工ログの vmw_vcenter フィールドから直接マッピングされます。
vmw_vcenter_id event.idm.read_only_udm.target.cloud.availability_zone.id 未加工ログの vmw_vcenter_id フィールドから直接マッピングされます。
vmw_vr_ops_appname event.idm.read_only_udm.target.application 未加工ログの vmw_vr_ops_appname フィールドから直接マッピングされます。
vmw_vr_ops_clustername event.idm.read_only_udm.target.resource.name 未加工ログの vmw_vr_ops_clustername フィールドから直接マッピングされます。
vmw_vr_ops_clusterrole event.idm.read_only_udm.target.resource.type 未加工ログの vmw_vr_ops_clusterrole フィールドから直接マッピングされます。

変更点

2024-06-03

  • JSON ログの新しいパターンのサポートを追加しました。

2024-05-09

  • 「snmpd」ログと「Rhttpproxy」ログの新しいパターンのサポートを追加しました。
  • 「prod_event_type」を「metadata.product_event_type」にマッピングしました。
  • 「context」を「additional.fields」にマッピングしました。

2024-02-07

  • バグの修正:
  • 破棄される SYSLOG ログをサポートする新しい Grok パターンを追加しました。
  • 「newVersion」と「filter」を「security_result.detection_fields」にマッピングしました。
  • 「description」を「security_result.description」にマッピングしました。

2023-10-10

  • gsub 関数を使用して、次の JSON キー名を変更しました。
  • 「service」を「serv」に変更。
  • 「event」を「log_event」に変更。
  • 「@timestamp」を「timestamp」に変更。
  • 「@version」を「version」に変更しました。
  • 新しいフィールドを含む JSON ログを処理するための新しい Grok パターンを追加しました。
  • 「timestamp」を「RFC 3339」形式と「TIMESTAMP_ISO8601」形式にマッチングしました。
  • 「host.hostname」を「principal.hostname」にマッピングしました。
  • 「host.ip」を「principal.ip」にマッピングしました。
  • 「type」、「serv.type」、「log.syslog.facility.code」、「log.syslog.facility.name」、「log.syslog.severity.code」、「log.syslog.severity.name」、「log.syslog.priority」を「additional.fields」にマッピングしました。
  • 「process.name」を「service」にマッピングしました。
  • 「version」を「metadata.product_version」にマッピングしました。
  • 「severity」を「security_result.severity」にマッピングしました。

2023-09-25

  • VMware ESXi の新しいタイプの SYSLOG を処理するための新しい Grok パターンを追加しました。
  • 「app_name」を「principal.application」にマッピングしました。
  • 「severity」を「security_result.severity」にマッピングしました。

2023-07-17

  • バグの修正 - 「username」を「target.user.userid」にマッピングしました。
  • 「pid」を「principal.process.pid」にマッピングしました。
  • 「description」を「metadata.description」にマッピングしました。

2023-06-12

  • バグの修正 - タイプ「vmauthd」の「session」のマッピングを変更しました。「network.session_id」にマッピングしました。

2022-09-01

  • バグ修正 - ハードコードされた値から principal.namespace をマッピング解除。

2022-08-24

  • 機能拡張 - - 新しい日付タイプを追加し、「yyyy-MM-ddTHH:mm:s」形式の日付を解析できるようにしました。

2022-08-03

  • 機能強化 - サービスが hostd、vmon、vrops のログを処理するための Grok パターンを追加しました。

2022-07-26

  • 機能強化 -
  • ここで「service」は「Rhttpproxy」に等しい
  • 「principal.namespace」のマッピングを「namespace」から「WALMART」に変更しました。
  • 「namespace」を「additional.fields」にマッピングしました。
  • 「service」が「crond」と等しい
  • 「parent_pid」を「target.process.parent_process.pid」にマッピングしました。

2022-07-05

  • バグ修正 - タイムスタンプを「yyyy-MM-ddTHH:mm:ss.SSSS」形式に一致するようにパーサーを更新しました。

2022-06-13

  • 機能拡張 - hostd、sendmail、sshd、sudo、vmcad、vmon、vpxd、vrops のサービスを含むログを処理するように grok パターンを変更または追加しました。
  • バグ修正 - 「vmauthd」ログの「metadata.event_type」を「USER_LOGIN」から「GENERIC_EVENT」に変更しました。

2022-05-02

  • バグ修正 - ユーザーの要件に従い、サービスが「Hostd」のログの target.hostname マッピングを principal.ip に変更しました。

2022-04-13

  • 改善 - hostd-probe、vmkernel、vmkwarning、Fdm、netcpa、root、hpHelper、snmpd などのサービス名を持つログを解析。
  • logstash.ingest.timestamp を metadata.ingested_timestamp にマッピングしました。
  • logstash.ingest.host と logstash.process.host を intermediary.hostname に変更します。
  • logstash.collect.host から observer.hostname に変更されました。