收集 VMware ESXi 日志
支持的平台:
Google SecOps
SIEM
概览
此解析器可从 VMware ESXi syslog 和 JSON 格式的日志中提取字段。它会将各种 ESXi 日志格式标准化为一个通用结构,然后根据提取的值填充 UDM 字段,包括使用包含文件处理不同 ESXi 服务(例如 crond、named 和 sshd)的具体情况。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 VMWare ESX 的特权访问权限。
- 确保您使用的是 Windows 2012 SP2 或更高版本,或者使用了 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet。 - 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh。 - 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 访问安装了 BindPlane 的机器。
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels使用以下命令重启 BindPlane Agent 以应用更改:
sudo systemctl bindplane restart
允许 syslog ESXi 防火墙规则
- 依次选择网络 > 防火墙规则。
- 在“名称”列中找到 syslog。
- 点击修改设置。
- 更新您在 BindPlane 中配置的
tcp或udp端口。 - 点击保存。
- 保持 syslog 行处于选中状态。
- 依次选择操作 > 启用。
使用 vSphere Client 从 VMware ESXi 导出 Syslog
- 使用 vSphere Client 登录 ESXi 主机。
- 依次前往管理 > 系统 > 高级设置。
- 在列表中找到 Syslog.global.logHost 键。
- 选择相应密钥,然后点击修改选项。
- 输入
<protocol>://<destination_IP>:<port>- 将
<protocol>替换为tcp(如果您将 BindPlane 配置为使用 UDP,请输入udp)。 - 将
<destination_IP>替换为 BindPlane 代理的 IP 地址。 - 将
<port>替换为之前在 BindPlane 中设置的端口。
- 将
- 点击保存。
可选:使用 SSH 从 VMware ESXi 导出 Syslog
- 使用 SSH 连接到您的 ESXi 主机。
- 使用命令
esxcli system syslog config set --loghost=<protocol>://<destination_IP>:<port>。- 将
<protocol>替换为tcp(如果您将 BindPlane 配置为使用 UDP,请输入udp)。 - 将
<destination_IP>替换为 BindPlane 代理的 IP 地址。 - 将
<port>替换为之前在 BindPlane 中设置的端口。
- 将
- 输入命令
/etc/init.d/syslog restart以重启 syslog 服务。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
@fields.alias |
event.idm.read_only_udm.principal.cloud.project.alias |
直接从 JSON 日志的 @fields.alias 字段映射。 |
@fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
直接从 JSON 日志的 @fields.company_name 字段映射。 |
@fields.facility |
event.idm.read_only_udm.principal.resource.type |
直接从 JSON 日志的 @fields.facility 字段映射。 |
@fields.host |
event.idm.read_only_udm.principal.hostname,event.idm.read_only_udm.principal.asset.hostname |
直接从 JSON 日志的 @fields.host 字段映射。 |
@fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
直接从 JSON 日志的 @fields.privatecloud_id 字段映射。 |
@fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
直接从 JSON 日志的 @fields.privatecloud_name 字段映射。 |
@fields.procid |
event.idm.read_only_udm.principal.process.pid |
直接从 JSON 日志的 @fields.procid 字段映射。 |
@fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
直接从 JSON 日志的 @fields.region_id 字段映射。 |
@fields.severity |
event.idm.read_only_udm.security_result.severity |
从 JSON 日志的 @fields.severity 字段映射而来。如果值为“info”或类似字样,则会映射到“INFORMATIONAL”。 |
@timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
使用 date 过滤器从日志的 @timestamp 字段中解析并转换为时间戳对象。 |
adapter |
event.idm.read_only_udm.target.resource.name |
直接从原始日志的 adapter 字段映射。 |
action |
event.idm.read_only_udm.security_result.action |
直接从原始日志的 action 字段映射。使用“ALLOW”和“BLOCK”等值。 |
action |
event.idm.read_only_udm.security_result.action_details |
直接从原始日志的 action 字段映射。使用“重定向”等值。 |
administrative_domain |
event.idm.read_only_udm.principal.administrative_domain |
直接从原始日志的 administrative_domain 字段映射。 |
agent.hostname |
event.idm.read_only_udm.intermediary.hostname |
直接从 JSON 日志的 agent.hostname 字段映射。 |
agent.id |
event.idm.read_only_udm.intermediary.asset.id |
直接从 JSON 日志的 agent.id 字段映射。 |
agent.name |
event.idm.read_only_udm.intermediary.asset.name |
直接从 JSON 日志的 agent.name 字段映射。 |
agent.type |
event.idm.read_only_udm.intermediary.asset.type |
直接从 JSON 日志的 agent.type 字段映射。 |
agent.version |
event.idm.read_only_udm.intermediary.asset.version |
直接从 JSON 日志的 agent.version 字段映射。 |
app_name |
event.idm.read_only_udm.principal.application |
直接从原始日志的 app_name 字段映射。 |
app_protocol |
event.idm.read_only_udm.network.application_protocol |
直接从原始日志的 app_protocol 字段映射。如果值与“http”(不区分大小写)匹配,则会映射到“HTTP”。 |
application |
event.idm.read_only_udm.principal.application |
直接从 JSON 日志的 program 字段映射。 |
cmd |
event.idm.read_only_udm.target.process.command_line |
直接从原始日志的 cmd 字段映射。 |
collection_time |
event.idm.read_only_udm.metadata.event_timestamp |
将 collection_time 字段中的纳秒数添加到 collection_time 字段中的秒数,以创建 event_timestamp。 |
data |
event.idm.read_only_udm.metadata.description |
系统会解析原始日志消息,并提取相关部分以填充“Description”字段。 |
descrip |
event.idm.read_only_udm.metadata.description |
直接从原始日志的 descrip 字段映射。 |
dns.answers.data |
event.idm.read_only_udm.network.dns.answers.data |
直接从 JSON 日志的 dns.answers.data 字段映射。 |
dns.answers.ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
直接从 JSON 日志的 dns.answers.ttl 字段映射。 |
dns.answers.type |
event.idm.read_only_udm.network.dns.answers.type |
直接从 JSON 日志的 dns.answers.type 字段映射。 |
dns.questions.name |
event.idm.read_only_udm.network.dns.questions.name |
直接从 JSON 日志的 dns.questions.name 字段映射。 |
dns.questions.type |
event.idm.read_only_udm.network.dns.questions.type |
直接从 JSON 日志的 dns.questions.type 字段映射。 |
dns.response |
event.idm.read_only_udm.network.dns.response |
直接从 JSON 日志的 dns.response 字段映射。 |
ecs.version |
event.idm.read_only_udm.metadata.product_version |
直接从 JSON 日志的 ecs.version 字段映射。 |
event_message |
event.idm.read_only_udm.metadata.description |
直接从 JSON 日志的 event_message 字段映射。 |
event_metadata |
event.idm.read_only_udm.principal.process.product_specific_process_id |
系统会解析 event_metadata 字段以提取 opID 值,然后在该值前面附加“opID:”并将其映射到 UDM。 |
event_type |
event.idm.read_only_udm.metadata.event_type |
直接从 JSON 日志的 event_type 字段映射。 |
filepath |
event.idm.read_only_udm.target.file.full_path |
直接从原始日志的 filepath 字段映射。 |
fields.company_name |
event.idm.read_only_udm.principal.user.company_name |
直接从 JSON 日志的 fields.company_name 字段映射。 |
fields.facility |
event.idm.read_only_udm.principal.resource.type |
直接从 JSON 日志的 fields.facility 字段映射。 |
fields.host |
event.idm.read_only_udm.principal.hostname,event.idm.read_only_udm.principal.asset.hostname |
直接从 JSON 日志的 fields.host 字段映射。 |
fields.privatecloud_id |
event.idm.read_only_udm.principal.cloud.project.id |
直接从 JSON 日志的 fields.privatecloud_id 字段映射。 |
fields.privatecloud_name |
event.idm.read_only_udm.principal.cloud.project.name |
直接从 JSON 日志的 fields.privatecloud_name 字段映射。 |
fields.procid |
event.idm.read_only_udm.principal.process.pid |
直接从 JSON 日志的 fields.procid 字段映射。 |
fields.region_id |
event.idm.read_only_udm.principal.location.country_or_region |
直接从 JSON 日志的 fields.region_id 字段映射。 |
fields.severity |
event.idm.read_only_udm.security_result.severity |
从 JSON 日志的 fields.severity 字段映射而来。如果值为“info”或类似字样,则会映射到“INFORMATIONAL”。 |
host.architecture |
event.idm.read_only_udm.principal.asset.architecture |
直接从 JSON 日志的 host.architecture 字段映射。 |
host.containerized |
event.idm.read_only_udm.principal.asset.containerized |
直接从 JSON 日志的 host.containerized 字段映射。 |
host.hostname |
event.idm.read_only_udm.principal.hostname,event.idm.read_only_udm.principal.asset.hostname |
直接从 JSON 日志的 host.hostname 字段映射。 |
host.id |
event.idm.read_only_udm.principal.asset.id |
直接从 JSON 日志的 host.id 字段映射。 |
host.ip |
event.idm.read_only_udm.principal.ip,event.idm.read_only_udm.principal.asset.ip |
直接从 JSON 日志的 host.ip 字段映射。 |
host.mac |
event.idm.read_only_udm.principal.mac,event.idm.read_only_udm.principal.asset.mac |
直接从 JSON 日志的 host.mac 字段映射。 |
host.name |
event.idm.read_only_udm.principal.asset.name |
直接从 JSON 日志的 host.name 字段映射。 |
host.os.codename |
event.idm.read_only_udm.principal.asset.os.codename |
直接从 JSON 日志的 host.os.codename 字段映射。 |
host.os.family |
event.idm.read_only_udm.principal.asset.os.family |
直接从 JSON 日志的 host.os.family 字段映射。 |
host.os.kernel |
event.idm.read_only_udm.principal.asset.os.kernel |
直接从 JSON 日志的 host.os.kernel 字段映射。 |
host.os.name |
event.idm.read_only_udm.principal.asset.os.name |
直接从 JSON 日志的 host.os.name 字段映射。 |
host.os.platform |
event.idm.read_only_udm.principal.asset.os.platform |
直接从 JSON 日志的 host.os.platform 字段映射。 |
host.os.version |
event.idm.read_only_udm.principal.asset.os.version |
直接从 JSON 日志的 host.os.version 字段映射。 |
iporhost |
event.idm.read_only_udm.principal.hostname,event.idm.read_only_udm.principal.asset.hostname |
直接从原始日志的 iporhost 字段映射。 |
iporhost |
event.idm.read_only_udm.principal.ip |
如果是 IP 地址,则直接从原始日志的 iporhost 字段映射。 |
iporhost1 |
event.idm.read_only_udm.principal.hostname,event.idm.read_only_udm.principal.asset.hostname |
直接从原始日志的 iporhost1 字段映射。 |
kv_data1 |
event.idm.read_only_udm.principal.process.product_specific_process_id |
系统会解析 kv_data1 字段以提取 opID 或 sub 值,然后分别在前面附加“opID:”或“sub:”,并将其映射到 UDM。 |
kv_msg |
event.idm.read_only_udm.additional.fields |
系统会将 kv_msg 字段解析为键值对,并将其添加到 UDM 中的 additional_fields 数组。 |
kv_msg1 |
event.idm.read_only_udm.additional.fields |
系统会将 kv_msg1 字段解析为键值对,并将其添加到 UDM 中的 additional_fields 数组。 |
lbdn |
event.idm.read_only_udm.target.hostname |
直接从原始日志的 lbdn 字段映射。 |
log.source.address |
event.idm.read_only_udm.observer.hostname |
直接从 JSON 日志的 log.source.address 字段映射,仅取主机名部分。 |
log_event.original |
event.idm.read_only_udm.metadata.description |
直接从 JSON 日志的 event.original 字段映射。 |
log_level |
event.idm.read_only_udm.security_result.severity_details |
直接从 JSON 日志的 log_level 字段映射。 |
logstash.collect.host |
event.idm.read_only_udm.observer.hostname |
直接从 JSON 日志的 logstash.collect.host 字段映射。 |
logstash.collect.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
使用 date 过滤器从日志的 logstash.collect.timestamp 字段中解析并转换为时间戳对象。 |
logstash.ingest.host |
event.idm.read_only_udm.intermediary.hostname |
直接从 JSON 日志的 logstash.ingest.host 字段映射。 |
logstash.ingest.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
使用 date 过滤器从日志的 logstash.ingest.timestamp 字段中解析并转换为时间戳对象。 |
logstash.process.host |
event.idm.read_only_udm.intermediary.hostname |
直接从 JSON 日志的 logstash.process.host 字段映射。 |
logstash.process.timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
使用 date 过滤器从日志的 logstash.process.timestamp 字段中解析并转换为时间戳对象。 |
log_type |
event.idm.read_only_udm.metadata.log_type |
直接从原始日志的 log_type 字段映射。 |
message |
event.idm.read_only_udm.metadata.description |
直接从 JSON 日志的 message 字段映射。 |
message_to_process |
event.idm.read_only_udm.metadata.description |
直接从原始日志的 message_to_process 字段映射。 |
metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
最初设为“GENERIC_EVENT”,然后可能会根据解析的 service 或其他日志内容被覆盖。可以是 PROCESS_LAUNCH、NETWORK_CONNECTION、USER_LOGIN 等值。 |
metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
直接从原始日志的 process_id 或 prod_event_type 字段映射而来。 |
metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
直接从原始日志的 event_id 字段映射。 |
metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
设置为“ESX”。 |
metadata.product_version |
event.idm.read_only_udm.metadata.product_version |
直接从 JSON 日志的 version 字段映射。 |
metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
设置为“VMWARE”。 |
msg |
event.idm.read_only_udm.metadata.description |
直接从原始日志的 msg 字段映射。 |
network.application_protocol |
event.idm.read_only_udm.network.application_protocol |
如果 service 为“命名”,则设置为“DNS”;如果端口为 443,则设置为“HTTPS”;如果 app_protocol 与“http”匹配,则设置为“HTTP”。 |
network.direction |
event.idm.read_only_udm.network.direction |
根据原始日志中的关键字(例如“IN”“OUT”“->”)确定。可以是 INBOUND 或 OUTBOUND。 |
network.http.method |
event.idm.read_only_udm.network.http.method |
直接从原始日志的 method 字段映射。 |
network.http.parsed_user_agent |
event.idm.read_only_udm.network.http.parsed_user_agent |
使用 convert 过滤器从 useragent 字段解析。 |
network.http.referral_url |
event.idm.read_only_udm.network.http.referral_url |
直接从原始日志的 prin_url 字段映射。 |
network.http.response_code |
event.idm.read_only_udm.network.http.response_code |
直接从原始日志的 status_code 字段映射并转换为整数。 |
network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
直接从原始日志的 useragent 字段映射。 |
network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
根据原始日志中的关键字(例如“TCP”“UDP”)确定。 |
network.received_bytes |
event.idm.read_only_udm.network.received_bytes |
直接从原始日志的 rec_bytes 字段映射并转换为无符号整数。 |
network.sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
从原始日志的 message_to_process 字段中提取。 |
network.session_id |
event.idm.read_only_udm.network.session_id |
直接从原始日志的 session 字段映射。 |
pid |
event.idm.read_only_udm.target.process.parent_process.pid |
直接从原始日志的 pid 字段映射。 |
pid |
event.idm.read_only_udm.principal.process.pid |
直接从 JSON 日志的 pid 字段映射。 |
pid |
event.idm.read_only_udm.target.process.pid |
直接从原始日志的 pid 字段映射。 |
port |
event.idm.read_only_udm.target.port |
直接从 JSON 日志的 port 字段映射。 |
principal.application |
event.idm.read_only_udm.principal.application |
直接从原始日志的 app_name 或 service 字段映射而来。 |
principal.asset.hostname |
event.idm.read_only_udm.principal.asset.hostname |
直接从原始日志的 principal_hostname 或 iporhost 字段映射而来。 |
principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
直接从原始日志的 syslog_ip 字段映射。 |
principal.hostname |
event.idm.read_only_udm.principal.hostname |
直接从原始日志的 principal_hostname 或 iporhost 字段映射而来。 |
principal.ip |
event.idm.read_only_udm.principal.ip |
直接从原始日志的 iporhost 或 syslog_ip 字段映射而来。 |
principal.port |
event.idm.read_only_udm.principal.port |
直接从原始日志的 srcport 字段映射。 |
principal.process.command_line |
event.idm.read_only_udm.principal.process.command_line |
直接从原始日志的 cmd 字段映射。 |
principal.process.parent_process.pid |
event.idm.read_only_udm.principal.process.parent_process.pid |
直接从原始日志的 parent_pid 字段映射。 |
principal.process.pid |
event.idm.read_only_udm.principal.process.pid |
直接从原始日志的 process_id 字段映射。 |
principal.process.product_specific_process_id |
event.idm.read_only_udm.principal.process.product_specific_process_id |
从原始日志的 message_to_process 字段中提取,通常带有“opID:”前缀。 |
principal.url |
event.idm.read_only_udm.principal.url |
直接从原始日志的 prin_url 字段映射。 |
principal.user.company_name |
event.idm.read_only_udm.principal.user.company_name |
直接从 JSON 日志的 fields.company_name 字段映射。 |
principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
直接从原始日志的 USER 字段映射。 |
priority |
event.idm.read_only_udm.metadata.product_event_type |
直接从原始日志的 priority 字段映射。 |
program |
event.idm.read_only_udm.principal.application |
直接从 JSON 日志的 program 字段映射。 |
qname |
event.idm.read_only_udm.network.dns.questions.name |
直接从原始日志的 qname 字段映射。 |
response_data |
event.idm.read_only_udm.network.dns.answers.data |
直接从原始日志的 response_data 字段映射。 |
response_rtype |
event.idm.read_only_udm.network.dns.answers.type |
直接从原始日志的 response_rtype 字段映射。系统会提取数字 DNS 记录类型。 |
response_ttl |
event.idm.read_only_udm.network.dns.answers.ttl |
直接从原始日志的 response_ttl 字段映射。 |
rtype |
event.idm.read_only_udm.network.dns.questions.type |
直接从原始日志的 rtype 字段映射。系统会提取数字 DNS 记录类型。 |
security_result.action |
event.idm.read_only_udm.security_result.action |
根据原始日志中的关键字或状态确定。可以是 ALLOW 或 BLOCK。 |
security_result.action_details |
event.idm.read_only_udm.security_result.action_details |
从原始日志消息中提取,提供有关所采取操作的更多背景信息。 |
security_result.category |
event.idm.read_only_udm.security_result.category |
如果日志指示防火墙规则匹配,则设置为 POLICY_VIOLATION。 |
security_result.description |
event.idm.read_only_udm.security_result.description |
从原始日志消息中提取,可提供有关安全结果的更多背景信息。 |
security_result.rule_id |
event.idm.read_only_udm.security_result.rule_id |
直接从原始日志的 rule_id 字段映射。 |
security_result.severity |
event.idm.read_only_udm.security_result.severity |
根据原始日志中的关键字(例如“信息”“警告”“错误”)确定。可以是 INFORMATIONAL、LOW、MEDIUM 或 HIGH。 |
security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
直接从原始日志的 severity 或 log.syslog.severity.name 字段映射而来。 |
security_result.summary |
event.idm.read_only_udm.security_result.summary |
从原始日志消息中提取,提供安全结果的简要摘要。 |
service |
event.idm.read_only_udm.principal.application |
直接从原始日志的 service 字段映射。 |
source |
event.idm.read_only_udm.principal.hostname,event.idm.read_only_udm.principal.asset.hostname |
直接从原始日志的 source 字段映射。 |
src.file.full_path |
event.idm.read_only_udm.src.file.full_path |
从原始日志消息中提取。 |
src.hostname |
event.idm.read_only_udm.src.hostname |
直接从原始日志的 src.hostname 字段映射。 |
src_ip |
event.idm.read_only_udm.principal.ip |
直接从原始日志的 src_ip 字段映射。 |
src_mac_address |
event.idm.read_only_udm.principal.mac |
直接从原始日志的 src_mac_address 字段映射。 |
srcport |
event.idm.read_only_udm.principal.port |
直接从原始日志的 srcport 字段映射。 |
srcip |
event.idm.read_only_udm.principal.ip |
直接从原始日志的 srcip 字段映射。 |
subtype |
event.idm.read_only_udm.metadata.event_type |
直接从原始日志的 subtype 字段映射。 |
tags |
event.idm.read_only_udm.metadata.tags |
直接从 JSON 日志的 tags 字段映射。 |
target.application |
event.idm.read_only_udm.target.application |
直接从原始日志的 target_application 字段映射。 |
target.file.full_path |
event.idm.read_only_udm.target.file.full_path |
从原始日志消息中提取。 |
target.hostname |
event.idm.read_only_udm.target.hostname,event.idm.read_only_udm.target.asset.hostname |
直接从原始日志的 target_hostname 或 iporhost 字段映射而来。 |
target.ip |
event.idm.read_only_udm.target.ip |
直接从原始日志的 target_ip 字段映射。 |
target.mac |
event.idm.read_only_udm.target.mac |
直接从原始日志的 target_mac_address 字段映射。 |
target.port |
event.idm.read_only_udm.target.port |
直接从原始日志的 target_port 字段映射。 |
target.process.command_line |
event.idm.read_only_udm.target.process.command_line |
直接从原始日志的 cmd 字段映射。 |
target.process.parent_process.pid |
event.idm.read_only_udm.target.process.parent_process.pid |
直接从原始日志的 parent_pid 字段映射。 |
target.process.pid |
event.idm.read_only_udm.target.process.pid |
直接从原始日志的 pid 字段映射。 |
target.process.product_specific_process_id |
event.idm.read_only_udm.target.process.product_specific_process_id |
从原始日志的 message_to_process 字段中提取,通常带有“opID:”前缀。 |
target.resource.name |
event.idm.read_only_udm.target.resource.name |
直接从原始日志的 adapter 字段映射。 |
target.resource.resource_type |
event.idm.read_only_udm.target.resource.resource_type |
如果日志指示虚拟机操作,请将其设置为 VIRTUAL_MACHINE。 |
target.resource.type |
event.idm.read_only_udm.target.resource.type |
如果日志指示有设置更改,则设置为 SETTING。 |
target.user.userid |
event.idm.read_only_udm.target.user.userid |
直接从原始日志的 target_username 或 user1 字段映射而来。 |
timestamp |
event.timestamp |
使用 date 过滤器从日志的 timestamp 或 data 字段解析并转换为时间戳对象。 |
type |
event.idm.read_only_udm.additional.fields |
日志的 type 字段会添加到 UDM 中的 additional_fields 数组,键为“LogType”。 |
user1 |
event.idm.read_only_udm.target.user.userid |
直接从原始日志的 user1 字段映射。 |
useragent |
event.idm.read_only_udm.network.http.user_agent |
直接从原始日志的 useragent 字段映射。 |
vmw_cluster |
event.idm.read_only_udm.target.resource.name |
直接从原始日志的 vmw_cluster 字段映射。 |
vmw_datacenter |
event.idm.read_only_udm.target.resource.name |
直接从原始日志的 vmw_datacenter 字段映射。 |
vmw_host |
event.idm.read_only_udm.target.ip |
直接从原始日志的 vmw_host 字段映射。 |
vmw_object_id |
event.idm.read_only_udm.target.resource.id |
直接从原始日志的 vmw_object_id 字段映射。 |
vmw_product |
event.idm.read_only_udm.target.application |
直接从原始日志的 vmw_product 字段映射。 |
vmw_vcenter |
event.idm.read_only_udm.target.cloud.availability_zone |
直接从原始日志的 vmw_vcenter 字段映射。 |
vmw_vcenter_id |
event.idm.read_only_udm.target.cloud.availability_zone.id |
直接从原始日志的 vmw_vcenter_id 字段映射。 |
vmw_vr_ops_appname |
event.idm.read_only_udm.target.application |
直接从原始日志的 vmw_vr_ops_appname 字段映射。 |
vmw_vr_ops_clustername |
event.idm.read_only_udm.target.resource.name |
直接从原始日志的 vmw_vr_ops_clustername 字段映射。 |
vmw_vr_ops_clusterrole |
event.idm.read_only_udm.target.resource.type |
直接从原始日志的 vmw_vr_ops_clusterrole 字段映射。 |
更改
2024-06-03
- 添加了对 JSON 日志的新模式的支持。
2024-05-09
- 添加了对“snmpd”和“Rhttpproxy”日志的新模式的支持。
- 将“prod_event_type”映射到“metadata.product_event_type”。
- 将“context”映射到“additional.fields”。
2024-02-07
- bug 修复:
- 添加了新的 Grok 模式,以支持要丢弃的 SYSLOG 日志。
- 将“newVersion”和“filter”映射到“security_result.detection_fields”。
- 将“description”映射到“security_result.description”。
2023-10-10
- 使用 gsub 函数修改了以下 JSON 键名称:
- “service”更改为“serv”。
- “event”更改为“log_event”。
- “@timestamp”更改为“timestamp”。
- “@version”更改为“version”。
- 添加了新的 Grok 模式,以处理包含新字段的 JSON 日志。
- 将“时间戳”与“RFC 3339”和“TIMESTAMP_ISO8601”格式进行了匹配。
- 将“host.hostname”映射到“principal.hostname”。
- 将“host.ip”映射到“principal.ip”。
- 将“type”“serv.type”“log.syslog.facility.code”“log.syslog.facility.name”“log.syslog.severity.code”“log.syslog.severity.name”和“log.syslog.priority”映射到“additional.fields”。
- 将“process.name”映射到“service”。
- 将“version”映射到“metadata.product_version”。
- 将“severity”映射到“security_result.severity”。
2023-09-25
- 添加了新的 Grok 模式,以处理 VMware ESXi 的新类型 SYSLOG。
- 将“app_name”映射到“principal.application”。
- 将“severity”映射到“security_result.severity”。
2023-07-17
- bug_fix - 将“username”映射到“target.user.userid”。
- 将“pid”映射到“principal.process.pid”。
- 将“description”映射到“metadata.description”。
2023-06-12
- bug_fix - 修改了“vmauthd”类型的“会话”映射。将其映射到“network.session_id”。
2022-09-01
- bug_fix - 取消映射了其硬编码值的 principal.namespace。
2022-08-24
- 增强功能 - 添加了新日期类型,用于解析格式为“yyyy-MM-ddTHH:mm:s”的日期。
2022-08-03
- 增强功能 - 添加了 Grok 模式,以处理服务为:hostd、vmon 和 vrops 的日志。
2022-07-26
- 增强功能 -
- 其中,“service”等于“Rhttpproxy”
- 将“principal.namespace”的映射从“namespace”更改为“WALMART”。
- 将“命名空间”映射到“additional.fields”。
- 其中“service”等于“crond”
- 将“parent_pid”映射到“target.process.parent_process.pid”。
2022-07-05
- bug 修复 - 更新了解析器,使其与“yyyy-MM-ddTHH:mm:ss.SSSS”格式的时间戳相匹配。
2022-06-13
- 增强功能 - 修改/添加了 Grok 模式,以处理服务:hostd、sendmail、sshd、sudo、vmcad、vmon、vpxd、vrops 的日志。
- bug 修复 - 将“vmauthd”日志的“metadata.event_type”从“USER_LOGIN”更改为“GENERIC_EVENT”。
2022-05-02
- bug 修复 - 根据用户要求,对于服务为“托管”的日志,target.hostname 映射已更改为 principal.ip。
2022-04-13
- 改进 - 解析了具有以下服务名称的日志:hostd-probe、vmkernel、vmkwarning、Fdm、netcpa、root、hpHelper、snmpd 等。
- 将 logstash.ingest.timestamp 映射到 metadata.ingested_timestamp,
- logstash.ingest.host 和 logstash.process.host 更改为 intermediary.hostname,
- logstash.collect.host 更改为 observer.hostname。