VMware ESXi ログを収集する
以下でサポートされています。
Google SecOpsSIEM
概要
このパーサーは、VMware ESXi syslog と JSON 形式のログからフィールドを抽出します。さまざまな ESXi ログ形式を共通の構造に正規化し、抽出された値に基づいて UDM フィールドに入力します。これにより、include ファイルを使用して crond、named、sshd などのさまざまな ESXi サービスの特定のケースを処理できます。
始める前に
- Google SecOps インスタンスがあることを確認します。
- VMWare ESX に対する特権アクセス権があることを確認します。
- Windows 2012 SP2 以降または systemd を搭載した Linux ホストがあることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- 取り込み認証ファイルをダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細] セクションから [お客様 ID] をコピーして保存します。
BindPlane Agent をインストールする
- Windows へのインストールの場合は、次のスクリプト
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
を実行します。 - Linux へのインストールの場合は、
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
スクリプトを実行します。 - その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する
- BindPlane がインストールされているマシンにアクセスします。
config.yaml
ファイルを次のように編集します。receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
次のコマンドを使用して BindPlane エージェントを再起動して、変更を適用します。
sudo systemctl bindplane restart
syslog ESXi ファイアウォール ルールを許可する
- [Networking] > [Firewall rules] に移動します。
- [名前列] で [syslog] を見つけます。
- [設定を編集] をクリックします。
- BindPlane で構成した
tcp
ポートまたはudp
ポートを更新します。 - [保存] をクリックします。
- syslog 行を選択したままにします。
- [アクション] > [有効にする] を選択します。
vSphere クライアントを使用して VMware ESXi から Syslog をエクスポートする
- vSphere Client を使用して ESXi ホストにログインします。
- [管理] > [システム] > [詳細設定] に移動します。
- リストで Syslog.global.logHost キーを見つけます。
- キーを選択し、[編集オプション] をクリックします。
<protocol>://<destination_IP>:<port>
と入力します<protocol>
をtcp
に置き換えます(UDP を使用するように BindPlane を構成した場合は、udp
と入力します)。<destination_IP>
は、BindPlane エージェントの IP アドレスに置き換えます。<port>
は、BindPlane で以前に設定したポートに置き換えます。
- [保存] をクリックします。
省略可: SSH を使用して VMware ESXi から Syslog をエクスポートする
- SSH を使用して ESXi ホストに接続します。
esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>
コマンドを使用します。<protocol>
をtcp
に置き換えます(UDP を使用するように BindPlane を構成した場合は、udp
と入力します)。<destination_IP>
は、BindPlane エージェントの IP アドレスに置き換えます。<port>
は、BindPlane で以前に設定したポートに置き換えます。
- コマンド
/etc/init.d/syslog restart
を入力して、syslog サービスを再起動します。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
@fields.alias |
event.idm.read_only_udm.principal.cloud.project.alias |
JSON ログの @fields.alias フィールドから直接マッピングされます。 |
@fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
JSON ログの @fields.company_name フィールドから直接マッピングされます。 |
@fields.facility |
event.idm.read_only_udm.principal.resource.type |
JSON ログの @fields.facility フィールドから直接マッピングされます。 |
@fields.host |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
JSON ログの @fields.host フィールドから直接マッピングされます。 |
@fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
JSON ログの @fields.privatecloud_id フィールドから直接マッピングされます。 |
@fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
JSON ログの @fields.privatecloud_name フィールドから直接マッピングされます。 |
@fields.procid |
event.idm.read_only_udm.principal.process.pid |
JSON ログの @fields.procid フィールドから直接マッピングされます。 |
@fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
JSON ログの @fields.region_id フィールドから直接マッピングされます。 |
@fields.severity |
event.idm.read_only_udm.security_result.severity |
JSON ログの @fields.severity フィールドからマッピングされます。値が「info」などの場合、「INFORMATIONAL」にマッピングされます。 |
@timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
date フィルタを使用して、ログの @timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。 |
adapter |
event.idm.read_only_udm.target.resource.name |
未加工ログの adapter フィールドから直接マッピングされます。 |
action |
event.idm.read_only_udm.security_result.action |
未加工ログの action フィールドから直接マッピングされます。「ALLOW」や「BLOCK」などの値が使用されます。 |
action |
event.idm.read_only_udm.security_result.action_details |
未加工ログの action フィールドから直接マッピングされます。「リダイレクト」などの値が使用されます。 |
administrative_domain |
event.idm.read_only_udm.principal.administrative_domain |
未加工ログの administrative_domain フィールドから直接マッピングされます。 |
agent.hostname |
event.idm.read_only_udm.intermediary.hostname |
JSON ログの agent.hostname フィールドから直接マッピングされます。 |
agent.id |
event.idm.read_only_udm.intermediary.asset.id |
JSON ログの agent.id フィールドから直接マッピングされます。 |
agent.name |
event.idm.read_only_udm.intermediary.asset.name |
JSON ログの agent.name フィールドから直接マッピングされます。 |
agent.type |
event.idm.read_only_udm.intermediary.asset.type |
JSON ログの agent.type フィールドから直接マッピングされます。 |
agent.version |
event.idm.read_only_udm.intermediary.asset.version |
JSON ログの agent.version フィールドから直接マッピングされます。 |
app_name |
event.idm.read_only_udm.principal.application |
未加工ログの app_name フィールドから直接マッピングされます。 |
app_protocol |
event.idm.read_only_udm.network.application_protocol |
未加工ログの app_protocol フィールドから直接マッピングされます。値が「http」と一致する場合(大文字と小文字は区別されません)、値は「HTTP」にマッピングされます。 |
application |
event.idm.read_only_udm.principal.application |
JSON ログの program フィールドから直接マッピングされます。 |
cmd |
event.idm.read_only_udm.target.process.command_line |
未加工ログの cmd フィールドから直接マッピングされます。 |
collection_time |
event.idm.read_only_udm.metadata.event_timestamp |
collection_time フィールドのナノ秒が collection_time フィールドの秒に加算され、event_timestamp が作成されます。 |
data |
event.idm.read_only_udm.metadata.description |
未加工のログ メッセージが解析され、関連部分が抽出されて説明フィールドに入力されます。 |
descrip |
event.idm.read_only_udm.metadata.description |
未加工ログの descrip フィールドから直接マッピングされます。 |
dns.answers.data |
event.idm.read_only_udm.network.dns.answers.data |
JSON ログの dns.answers.data フィールドから直接マッピングされます。 |
dns.answers.ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
JSON ログの dns.answers.ttl フィールドから直接マッピングされます。 |
dns.answers.type |
event.idm.read_only_udm.network.dns.answers.type |
JSON ログの dns.answers.type フィールドから直接マッピングされます。 |
dns.questions.name |
event.idm.read_only_udm.network.dns.questions.name |
JSON ログの dns.questions.name フィールドから直接マッピングされます。 |
dns.questions.type |
event.idm.read_only_udm.network.dns.questions.type |
JSON ログの dns.questions.type フィールドから直接マッピングされます。 |
dns.response |
event.idm.read_only_udm.network.dns.response |
JSON ログの dns.response フィールドから直接マッピングされます。 |
ecs.version |
event.idm.read_only_udm.metadata.product_version |
JSON ログの ecs.version フィールドから直接マッピングされます。 |
event_message |
event.idm.read_only_udm.metadata.description |
JSON ログの event_message フィールドから直接マッピングされます。 |
event_metadata |
event.idm.read_only_udm.principal.process.product_specific_process_id |
event_metadata フィールドが解析され、opID 値が抽出されます。この値は「opID:」が先頭に追加され、UDM にマッピングされます。 |
event_type |
event.idm.read_only_udm.metadata.event_type |
JSON ログの event_type フィールドから直接マッピングされます。 |
filepath |
event.idm.read_only_udm.target.file.full_path |
未加工ログの filepath フィールドから直接マッピングされます。 |
fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
JSON ログの fields.company_name フィールドから直接マッピングされます。 |
fields.facility |
event.idm.read_only_udm.principal.resource.type |
JSON ログの fields.facility フィールドから直接マッピングされます。 |
fields.host |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
JSON ログの fields.host フィールドから直接マッピングされます。 |
fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
JSON ログの fields.privatecloud_id フィールドから直接マッピングされます。 |
fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
JSON ログの fields.privatecloud_name フィールドから直接マッピングされます。 |
fields.procid |
event.idm.read_only_udm.principal.process.pid |
JSON ログの fields.procid フィールドから直接マッピングされます。 |
fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
JSON ログの fields.region_id フィールドから直接マッピングされます。 |
fields.severity |
event.idm.read_only_udm.security_result.severity |
JSON ログの fields.severity フィールドからマッピングされます。値が「info」などの場合、「INFORMATIONAL」にマッピングされます。 |
host.architecture |
event.idm.read_only_udm.principal.asset.architecture |
JSON ログの host.architecture フィールドから直接マッピングされます。 |
host.containerized |
event.idm.read_only_udm.principal.asset.containerized |
JSON ログの host.containerized フィールドから直接マッピングされます。 |
host.hostname |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
JSON ログの host.hostname フィールドから直接マッピングされます。 |
host.id |
event.idm.read_only_udm.principal.asset.id |
JSON ログの host.id フィールドから直接マッピングされます。 |
host.ip |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
JSON ログの host.ip フィールドから直接マッピングされます。 |
host.mac |
event.idm.read_only_udm.principal.mac 、event.idm.read_only_udm.principal.asset.mac |
JSON ログの host.mac フィールドから直接マッピングされます。 |
host.name |
event.idm.read_only_udm.principal.asset.name |
JSON ログの host.name フィールドから直接マッピングされます。 |
host.os.codename |
event.idm.read_only_udm.principal.asset.os.codename |
JSON ログの host.os.codename フィールドから直接マッピングされます。 |
host.os.family |
event.idm.read_only_udm.principal.asset.os.family |
JSON ログの host.os.family フィールドから直接マッピングされます。 |
host.os.kernel |
event.idm.read_only_udm.principal.asset.os.kernel |
JSON ログの host.os.kernel フィールドから直接マッピングされます。 |
host.os.name |
event.idm.read_only_udm.principal.asset.os.name |
JSON ログの host.os.name フィールドから直接マッピングされます。 |
host.os.platform |
event.idm.read_only_udm.principal.asset.os.platform |
JSON ログの host.os.platform フィールドから直接マッピングされます。 |
host.os.version |
event.idm.read_only_udm.principal.asset.os.version |
JSON ログの host.os.version フィールドから直接マッピングされます。 |
iporhost |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
未加工ログの iporhost フィールドから直接マッピングされます。 |
iporhost |
event.idm.read_only_udm.principal.ip |
未加工ログの iporhost フィールドから直接マッピングされます(IP アドレスの場合)。 |
iporhost1 |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
未加工ログの iporhost1 フィールドから直接マッピングされます。 |
kv_data1 |
event.idm.read_only_udm.principal.process.product_specific_process_id |
kv_data1 フィールドが解析され、opID 値または sub 値が抽出されます。この値はそれぞれ「opID:」または「sub:」が先頭に追加され、UDM にマッピングされます。 |
kv_msg |
event.idm.read_only_udm.additional.fields |
kv_msg フィールドは Key-Value ペアとして解析され、UDM の additional_fields 配列に追加されます。 |
kv_msg1 |
event.idm.read_only_udm.additional.fields |
kv_msg1 フィールドは Key-Value ペアとして解析され、UDM の additional_fields 配列に追加されます。 |
lbdn |
event.idm.read_only_udm.target.hostname |
未加工ログの lbdn フィールドから直接マッピングされます。 |
log.source.address |
event.idm.read_only_udm.observer.hostname |
JSON ログの log.source.address フィールドから直接マッピングされ、ホスト名の部分のみが使用されます。 |
log_event.original |
event.idm.read_only_udm.metadata.description |
JSON ログの event.original フィールドから直接マッピングされます。 |
log_level |
event.idm.read_only_udm.security_result.severity_details |
JSON ログの log_level フィールドから直接マッピングされます。 |
logstash.collect.host |
event.idm.read_only_udm.observer.hostname |
JSON ログの logstash.collect.host フィールドから直接マッピングされます。 |
logstash.collect.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
date フィルタを使用して、ログの logstash.collect.timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。 |
logstash.ingest.host |
event.idm.read_only_udm.intermediary.hostname |
JSON ログの logstash.ingest.host フィールドから直接マッピングされます。 |
logstash.ingest.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
date フィルタを使用して、ログの logstash.ingest.timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。 |
logstash.process.host |
event.idm.read_only_udm.intermediary.hostname |
JSON ログの logstash.process.host フィールドから直接マッピングされます。 |
logstash.process.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
date フィルタを使用して、ログの logstash.process.timestamp フィールドから解析され、タイムスタンプ オブジェクトに変換されます。 |
log_type |
event.idm.read_only_udm.metadata.log_type |
未加工ログの log_type フィールドから直接マッピングされます。 |
message |
event.idm.read_only_udm.metadata.description |
JSON ログの message フィールドから直接マッピングされます。 |
message_to_process |
event.idm.read_only_udm.metadata.description |
未加工ログの message_to_process フィールドから直接マッピングされます。 |
metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
最初は「GENERIC_EVENT」に設定され、解析された service やその他のログ コンテンツに基づいて上書きされる可能性があります。PROCESS_LAUNCH 、NETWORK_CONNECTION 、USER_LOGIN などの値にできます。 |
metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
元のログの process_id フィールドまたは prod_event_type フィールドから直接マッピングされます。 |
metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
未加工ログの event_id フィールドから直接マッピングされます。 |
metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
「ESX」に設定します。 |
metadata.product_version |
event.idm.read_only_udm.metadata.product_version |
JSON ログの version フィールドから直接マッピングされます。 |
metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
「VMWARE」に設定します。 |
msg |
event.idm.read_only_udm.metadata.description |
未加工ログの msg フィールドから直接マッピングされます。 |
network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
service が「named」の場合は「DNS」、ポートが 443 の場合は「HTTPS」、app_protocol が「http」と一致する場合は「HTTP」に設定します。 |
network.direction |
event.idm.read_only_udm.network.direction |
未加工ログ内のキーワード(「IN」、「OUT」、「->」など)から決定されます。INBOUND または OUTBOUND にできます。 |
network.http.method |
event.idm.read_only_udm.network.http.method |
未加工ログの method フィールドから直接マッピングされます。 |
network.http.parsed_user_agent |
event.idm.read_only_udm.network.http.parsed_user_agent |
convert フィルタを使用して useragent フィールドから解析されます。 |
network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
未加工ログの prin_url フィールドから直接マッピングされます。 |
network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
元のログの status_code フィールドから直接マッピングされ、整数に変換されます。 |
network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
未加工ログの useragent フィールドから直接マッピングされます。 |
network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
未加工ログ内のキーワード(「TCP」、「UDP」など)から判断されます。 |
network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
元のログの rec_bytes フィールドから直接マッピングされ、符号なし整数に変換されます。 |
network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
未加工ログの message_to_process フィールドから抽出されます。 |
network.session_id |
event.idm.read_only_udm.network.session_id |
未加工ログの session フィールドから直接マッピングされます。 |
pid |
event.idm.read_only_udm.target.process.parent_process.pid |
未加工ログの pid フィールドから直接マッピングされます。 |
pid |
event.idm.read_only_udm.principal.process.pid |
JSON ログの pid フィールドから直接マッピングされます。 |
pid |
event.idm.read_only_udm.target.process.pid |
未加工ログの pid フィールドから直接マッピングされます。 |
port |
event.idm.read_only_udm.target.port |
JSON ログの port フィールドから直接マッピングされます。 |
principal.application |
event.idm.read_only_udm.principal.application |
元のログの app_name フィールドまたは service フィールドから直接マッピングされます。 |
principal.asset.hostname |
event.idm.read_only_udm.principal.asset.hostname |
元のログの principal_hostname フィールドまたは iporhost フィールドから直接マッピングされます。 |
principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
未加工ログの syslog_ip フィールドから直接マッピングされます。 |
principal.hostname |
event.idm.read_only_udm.principal.hostname |
元のログの principal_hostname フィールドまたは iporhost フィールドから直接マッピングされます。 |
principal.ip |
event.idm.read_only_udm.principal.ip |
元のログの iporhost フィールドまたは syslog_ip フィールドから直接マッピングされます。 |
principal.port |
event.idm.read_only_udm.principal.port |
未加工ログの srcport フィールドから直接マッピングされます。 |
principal.process.command_line |
event.idm.read_only_udm.principal.process.command_line |
未加工ログの cmd フィールドから直接マッピングされます。 |
principal.process.parent_process.pid |
event.idm.read_only_udm.principal.process.parent_process.pid |
未加工ログの parent_pid フィールドから直接マッピングされます。 |
principal.process.pid |
event.idm.read_only_udm.principal.process.pid |
未加工ログの process_id フィールドから直接マッピングされます。 |
principal.process.product_specific_process_id |
event.idm.read_only_udm.principal.process.product_specific_process_id |
元のログの message_to_process フィールドから抽出されます。通常は「opID:」という接頭辞が付いています。 |
principal.url |
event.idm.read_only_udm.principal.url |
未加工ログの prin_url フィールドから直接マッピングされます。 |
principal.user.company_name |
event.idm.read_only_udm.principal.user.company_name |
JSON ログの fields.company_name フィールドから直接マッピングされます。 |
principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
未加工ログの USER フィールドから直接マッピングされます。 |
priority |
event.idm.read_only_udm.metadata.product_event_type |
未加工ログの priority フィールドから直接マッピングされます。 |
program |
event.idm.read_only_udm.principal.application |
JSON ログの program フィールドから直接マッピングされます。 |
qname |
event.idm.read_only_udm.network.dns.questions.name |
未加工ログの qname フィールドから直接マッピングされます。 |
response_data |
event.idm.read_only_udm.network.dns.answers.data |
未加工ログの response_data フィールドから直接マッピングされます。 |
response_rtype |
event.idm.read_only_udm.network.dns.answers.type |
未加工ログの response_rtype フィールドから直接マッピングされます。数値の DNS レコードタイプが抽出されます。 |
response_ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
未加工ログの response_ttl フィールドから直接マッピングされます。 |
rtype |
event.idm.read_only_udm.network.dns.questions.type |
未加工ログの rtype フィールドから直接マッピングされます。数値の DNS レコードタイプが抽出されます。 |
security_result.action |
event.idm.read_only_udm.security_result.action |
未加工ログ内のキーワードまたはステータスから判断されます。ALLOW または BLOCK のいずれかです。 |
security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
未加工のログ メッセージから抽出され、実行されたアクションに関する詳細なコンテキストを提供します。 |
security_result.category |
event.idm.read_only_udm.security_result.category |
ログでファイアウォール ルールの一致が示されている場合は、POLICY_VIOLATION に設定します。 |
security_result.description |
event.idm.read_only_udm.security_result.description |
未加工のログ メッセージから抽出され、セキュリティ結果に関する詳細なコンテキストを提供します。 |
security_result.rule_id |
event.idm.read_only_udm.security_result.rule_id |
未加工ログの rule_id フィールドから直接マッピングされます。 |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
未加工ログ内のキーワード(「info」、「warning」、「error」など)から判断されます。INFORMATIONAL 、LOW 、MEDIUM 、HIGH のいずれかです。 |
security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
元のログの severity フィールドまたは log.syslog.severity.name フィールドから直接マッピングされます。 |
security_result.summary |
event.idm.read_only_udm.security_result.summary |
生のログメッセージから抽出され、セキュリティ結果の簡潔な概要を提供します。 |
service |
event.idm.read_only_udm.principal.application |
未加工ログの service フィールドから直接マッピングされます。 |
source |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
未加工ログの source フィールドから直接マッピングされます。 |
src.file.full_path |
event.idm.read_only_udm.src.file.full_path |
未加工のログ メッセージから抽出されます。 |
src.hostname |
event.idm.read_only_udm.src.hostname |
未加工ログの src.hostname フィールドから直接マッピングされます。 |
src_ip |
event.idm.read_only_udm.principal.ip |
未加工ログの src_ip フィールドから直接マッピングされます。 |
src_mac_address |
event.idm.read_only_udm.principal.mac |
未加工ログの src_mac_address フィールドから直接マッピングされます。 |
srcport |
event.idm.read_only_udm.principal.port |
未加工ログの srcport フィールドから直接マッピングされます。 |
srcip |
event.idm.read_only_udm.principal.ip |
未加工ログの srcip フィールドから直接マッピングされます。 |
subtype |
event.idm.read_only_udm.metadata.event_type |
未加工ログの subtype フィールドから直接マッピングされます。 |
tags |
event.idm.read_only_udm.metadata.tags |
JSON ログの tags フィールドから直接マッピングされます。 |
target.application |
event.idm.read_only_udm.target.application |
未加工ログの target_application フィールドから直接マッピングされます。 |
target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
未加工のログ メッセージから抽出されます。 |
target.hostname |
event.idm.read_only_udm.target.hostname 、event.idm.read_only_udm.target.asset.hostname |
元のログの target_hostname フィールドまたは iporhost フィールドから直接マッピングされます。 |
target.ip |
event.idm.read_only_udm.target.ip |
未加工ログの target_ip フィールドから直接マッピングされます。 |
target.mac |
event.idm.read_only_udm.target.mac |
未加工ログの target_mac_address フィールドから直接マッピングされます。 |
target.port |
event.idm.read_only_udm.target.port |
未加工ログの target_port フィールドから直接マッピングされます。 |
target.process.command_line |
event.idm.read_only_udm.target.process.command_line |
未加工ログの cmd フィールドから直接マッピングされます。 |
target.process.parent_process.pid |
event.idm.read_only_udm.target.process.parent_process.pid |
未加工ログの parent_pid フィールドから直接マッピングされます。 |
target.process.pid |
event.idm.read_only_udm.target.process.pid |
未加工ログの pid フィールドから直接マッピングされます。 |
target.process.product_specific_process_id |
event.idm.read_only_udm.target.process.product_specific_process_id |
元のログの message_to_process フィールドから抽出されます。通常は「opID:」という接頭辞が付いています。 |
target.resource.name |
event.idm.read_only_udm.target.resource.name |
未加工ログの adapter フィールドから直接マッピングされます。 |
target.resource.resource_type |
event.idm.read_only_udm.target.resource.resource_type |
ログが VM オペレーションを示している場合は、VIRTUAL_MACHINE に設定します。 |
target.resource.type |
event.idm.read_only_udm.target.resource.type |
ログに設定の変更が示されている場合は SETTING に設定します。 |
target.user.userid |
event.idm.read_only_udm.target.user.userid |
元のログの target_username フィールドまたは user1 フィールドから直接マッピングされます。 |
timestamp |
event.timestamp |
date フィルタを使用して、ログの timestamp フィールドまたは data フィールドから解析され、タイムスタンプ オブジェクトに変換されます。 |
type |
event.idm.read_only_udm.additional.fields |
ログの type フィールドは、UDM の additional_fields 配列に「LogType」キーで追加されます。 |
user1 |
event.idm.read_only_udm.target.user.userid |
未加工ログの user1 フィールドから直接マッピングされます。 |
useragent |
event.idm.read_only_udm.network.http.user_agent |
未加工ログの useragent フィールドから直接マッピングされます。 |
vmw_cluster |
event.idm.read_only_udm.target.resource.name |
未加工ログの vmw_cluster フィールドから直接マッピングされます。 |
vmw_datacenter |
event.idm.read_only_udm.target.resource.name |
未加工ログの vmw_datacenter フィールドから直接マッピングされます。 |
vmw_host |
event.idm.read_only_udm.target.ip |
未加工ログの vmw_host フィールドから直接マッピングされます。 |
vmw_object_id |
event.idm.read_only_udm.target.resource.id |
未加工ログの vmw_object_id フィールドから直接マッピングされます。 |
vmw_product |
event.idm.read_only_udm.target.application |
未加工ログの vmw_product フィールドから直接マッピングされます。 |
vmw_vcenter |
event.idm.read_only_udm.target.cloud.availability_zone |
未加工ログの vmw_vcenter フィールドから直接マッピングされます。 |
vmw_vcenter_id |
event.idm.read_only_udm.target.cloud.availability_zone.id |
未加工ログの vmw_vcenter_id フィールドから直接マッピングされます。 |
vmw_vr_ops_appname |
event.idm.read_only_udm.target.application |
未加工ログの vmw_vr_ops_appname フィールドから直接マッピングされます。 |
vmw_vr_ops_clustername |
event.idm.read_only_udm.target.resource.name |
未加工ログの vmw_vr_ops_clustername フィールドから直接マッピングされます。 |
vmw_vr_ops_clusterrole |
event.idm.read_only_udm.target.resource.type |
未加工ログの vmw_vr_ops_clusterrole フィールドから直接マッピングされます。 |
変更点
2024-06-03
- JSON ログの新しいパターンのサポートを追加しました。
2024-05-09
- 「snmpd」ログと「Rhttpproxy」ログの新しいパターンのサポートを追加しました。
- 「prod_event_type」を「metadata.product_event_type」にマッピングしました。
- 「context」を「additional.fields」にマッピングしました。
2024-02-07
- バグの修正:
- 破棄される SYSLOG ログをサポートする新しい Grok パターンを追加しました。
- 「newVersion」と「filter」を「security_result.detection_fields」にマッピングしました。
- 「description」を「security_result.description」にマッピングしました。
2023-10-10
- gsub 関数を使用して、次の JSON キー名を変更しました。
- 「service」を「serv」に変更。
- 「event」を「log_event」に変更。
- 「@timestamp」を「timestamp」に変更。
- 「@version」を「version」に変更しました。
- 新しいフィールドを含む JSON ログを処理するための新しい Grok パターンを追加しました。
- 「timestamp」を「RFC 3339」形式と「TIMESTAMP_ISO8601」形式にマッチングしました。
- 「host.hostname」を「principal.hostname」にマッピングしました。
- 「host.ip」を「principal.ip」にマッピングしました。
- 「type」、「serv.type」、「log.syslog.facility.code」、「log.syslog.facility.name」、「log.syslog.severity.code」、「log.syslog.severity.name」、「log.syslog.priority」を「additional.fields」にマッピングしました。
- 「process.name」を「service」にマッピングしました。
- 「version」を「metadata.product_version」にマッピングしました。
- 「severity」を「security_result.severity」にマッピングしました。
2023-09-25
- VMware ESXi の新しいタイプの SYSLOG を処理するための新しい Grok パターンを追加しました。
- 「app_name」を「principal.application」にマッピングしました。
- 「severity」を「security_result.severity」にマッピングしました。
2023-07-17
- バグの修正 - 「username」を「target.user.userid」にマッピングしました。
- 「pid」を「principal.process.pid」にマッピングしました。
- 「description」を「metadata.description」にマッピングしました。
2023-06-12
- バグの修正 - タイプ「vmauthd」の「session」のマッピングを変更しました。「network.session_id」にマッピングしました。
2022-09-01
- バグ修正 - ハードコードされた値から principal.namespace をマッピング解除。
2022-08-24
- 機能拡張 - - 新しい日付タイプを追加し、「yyyy-MM-ddTHH:mm:s」形式の日付を解析できるようにしました。
2022-08-03
- 機能強化 - サービスが hostd、vmon、vrops のログを処理するための Grok パターンを追加しました。
2022-07-26
- 機能強化 -
- ここで「service」は「Rhttpproxy」に等しい
- 「principal.namespace」のマッピングを「namespace」から「WALMART」に変更しました。
- 「namespace」を「additional.fields」にマッピングしました。
- 「service」が「crond」と等しい
- 「parent_pid」を「target.process.parent_process.pid」にマッピングしました。
2022-07-05
- バグ修正 - タイムスタンプを「yyyy-MM-ddTHH:mm:ss.SSSS」形式に一致するようにパーサーを更新しました。
2022-06-13
- 機能拡張 - hostd、sendmail、sshd、sudo、vmcad、vmon、vpxd、vrops のサービスを含むログを処理するように grok パターンを変更または追加しました。
- バグ修正 - 「vmauthd」ログの「metadata.event_type」を「USER_LOGIN」から「GENERIC_EVENT」に変更しました。
2022-05-02
- バグ修正 - ユーザーの要件に従い、サービスが「Hostd」のログの target.hostname マッピングを principal.ip に変更しました。
2022-04-13
- 改善 - hostd-probe、vmkernel、vmkwarning、Fdm、netcpa、root、hpHelper、snmpd などのサービス名を持つログを解析。
- logstash.ingest.timestamp を metadata.ingested_timestamp にマッピングしました。
- logstash.ingest.host と logstash.process.host を intermediary.hostname に変更します。
- logstash.collect.host から observer.hostname に変更されました。