Logs des VMware Networking and Security Virtualization (NSX) Manager erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Protokolle des VMware Networking and Security Virtualization (NSX) Managers erfassen. Der Parser extrahiert Felder mithilfe verschiedener Grok-Muster, die auf dem Nachrichtenformat basieren. Anschließend werden Schlüssel/Wert- und JSON-Parsing sowie bedingte Logik ausgeführt, um die extrahierten Felder dem UDM zuzuordnen, verschiedene Protokollformate zu verarbeiten und die Daten mit zusätzlichem Kontext anzureichern.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen Administratorzugriff auf VMware NSX.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Zusätzliche Installationsressourcen

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie die Konfigurationsdatei auf:

    • Suchen Sie die Datei config.yaml. Unter Linux befindet es sich normalerweise im Verzeichnis /etc/bindplane-agent/, unter Windows im Installationsverzeichnis.
    • Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: vmware_nsx
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

BindPlane-Agent neu starten, um die Änderungen anzuwenden

  • Führen Sie unter Linux den folgenden Befehl aus, um den BindPlane-Agent neu zu starten:

    sudo systemctl restart bindplane-agent
    
  • Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste oder über den folgenden Befehl neu starten:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Syslog-Konfiguration für NSX Edge

  1. Melden Sie sich im vSphere-Webclient an.
  2. Gehen Sie zu Netzwerk und Sicherheit > NSX Edges.
  3. Wählen Sie die NSX Edge-Instanz aus, die Sie konfigurieren möchten.
  4. Gehen Sie zu den Syslog-Einstellungen:
    1. Für NSX 6.4.4 und höher:
      • Gehen Sie zu Verwalten > Einstellungen > Geräteeinstellungen.
      • Klicken Sie auf Einstellungen > Syslog-Konfiguration ändern.
    2. Für NSX 6.4.3 und niedriger:
      • Gehen Sie zu Verwalten > Einstellungen > Konfiguration.
      • Klicken Sie im Dialogfeld Details auf Ändern.
  5. Konfigurieren Sie die Details des Syslog-Servers:
    • Server: Geben Sie die IP-Adresse oder den Hostnamen des Syslog-Servers (Bindebene) ein.
    • Protokoll: Wählen Sie UDP oder TCP aus (je nach syslog-Server-/Bindplane-Konfiguration).
    • Port: Geben Sie die Portnummer ein (je nach syslog-Server-/Bindplane-Konfiguration).
  6. Klicken Sie auf OK, um die Einstellungen zu speichern.

Syslog-Konfiguration für NSX Manager

  1. Melden Sie sich mit Administratoranmeldedaten in der NSX Manager-Weboberfläche an:
    • https://<NSX-Manager-IP> oder https://<NSX-Manager-Hostname>.
  2. Gehen Sie zu Geräteeinstellungen verwalten > Allgemein.
  3. Klicken Sie auf Bearbeiten, um die Syslog-Servereinstellungen zu konfigurieren.
  4. Geben Sie die Details zum Syslog-Server ein:
    • Server: Geben Sie die IP-Adresse oder den Hostnamen des Syslog-Servers (Bindebene) ein.
    • Protokoll: Wählen Sie UDP oder TCP aus (je nach syslog-Server-/Bindplane-Konfiguration).
    • Port: Geben Sie die Portnummer ein (je nach syslog-Server-/Bindplane-Konfiguration).
  5. Klicken Sie auf OK, um die Einstellungen zu speichern.

Syslog-Konfiguration für NSX-Controller

  1. Melden Sie sich im vSphere-Webclient an.
  2. Gehen Sie zu Netzwerk und Sicherheit > Installation und Upgrade > Verwaltung > NSX-Controller-Knoten.
  3. Wählen Sie den NSX Manager aus, der die Controllerknoten verwaltet.
  4. Klicken Sie auf Allgemeine Controller-Attribute bearbeiten.
  5. Klicken Sie im Dialogfeld Syslog-Server auf Hinzufügen:
    1. Geben Sie den Namen oder die IP-Adresse des Syslog-Servers ein.
    2. Wählen Sie das Protokoll UDP aus (je nach syslog-Server-/Bindplane-Konfiguration).
    3. Legen Sie die Protokollebene fest (z. B. INFO).
  6. Klicken Sie auf OK, um die Einstellungen zu speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
DST event.idm.read_only_udm.target.ip Die Ziel-IP-Adresse wird aus dem Feld DST im Rohprotokoll extrahiert.
ID event.idm.read_only_udm.metadata.product_log_id Die Produktprotokoll-ID wird aus dem Feld ID im Rohprotokoll extrahiert.
MAC event.idm.read_only_udm.principal.mac Die MAC-Adresse wird aus dem Feld MAC im Rohprotokoll extrahiert.
ModuleName event.idm.read_only_udm.metadata.product_event_type Der Produktereignistyp wird aus dem Feld ModuleName im Rohprotokoll extrahiert.
Operation event.idm.read_only_udm.principal.resource.attribute.labels.value Der Vorgang wird aus dem Feld Operation im Rohprotokoll extrahiert und als Label mit dem Schlüssel „Operation“ hinzugefügt.
PROTO event.idm.read_only_udm.network.ip_protocol Das IP-Protokoll wird aus dem Feld PROTO im Rohprotokoll extrahiert.
RES event.idm.read_only_udm.target.resource.name Der Name der Zielressource wird aus dem Feld RES im Rohprotokoll extrahiert.
SRC event.idm.read_only_udm.principal.ip Die Quell-IP-Adresse wird aus dem Feld SRC im Rohprotokoll extrahiert.
SPT event.idm.read_only_udm.principal.port Der Quellport wird aus dem Feld SPT im Rohprotokoll extrahiert.
UserName event.idm.read_only_udm.principal.user.userid Die Nutzer-ID wird aus dem Feld UserName im Rohprotokoll extrahiert.
app_type event.idm.read_only_udm.principal.application Die Hauptanwendung wird aus dem Feld app_type im Rohprotokoll extrahiert.
application event.idm.read_only_udm.target.application Die Zielanwendung wird aus dem Feld application im Rohprotokoll extrahiert.
audit event.idm.read_only_udm.principal.resource.attribute.labels.value Der Wert für die Prüfung wird aus dem Feld audit im Rohprotokoll extrahiert und als Label mit dem Schlüssel „audit“ hinzugefügt.
cancelTimeUTC event.idm.read_only_udm.principal.resource.attribute.last_update_time Die Zeit der letzten Aktualisierung wird aus dem Feld cancelTimeUTC im Rohprotokoll abgeleitet.
client event.idm.read_only_udm.principal.ip oder event.idm.read_only_udm.principal.administrative_domain Wenn das Feld client eine IP-Adresse ist, wird sie der Haupt-IP zugeordnet. Andernfalls wird sie der Hauptverwaltungsdomain zugeordnet.
comp event.idm.read_only_udm.principal.resource.attribute.labels.value Der Komponentenwert wird aus dem Feld comp im Rohprotokoll extrahiert und als Label mit dem Schlüssel „Comp“ hinzugefügt.
datetime event.idm.read_only_udm.metadata.event_timestamp Der Ereigniszeitstempel wird aus dem Feld datetime im Rohprotokoll extrahiert.
description event.idm.read_only_udm.metadata.description Die Beschreibung wird aus dem Feld description im Rohprotokoll extrahiert.
details event.idm.read_only_udm.principal.resource.attribute.labels Die Details werden aus dem Feld details im Rohprotokoll extrahiert und als Labels hinzugefügt.
direction event.idm.read_only_udm.network.direction Wenn das Feld direction „OUT“ enthält, wird es „OUTBOUND“ zugeordnet.
dst_ip event.idm.read_only_udm.target.ip Die Ziel-IP-Adresse wird aus dem Feld dst_ip im Rohprotokoll extrahiert.
DPT event.idm.read_only_udm.target.port Der Zielport wird aus dem Feld DPT im Rohprotokoll extrahiert.
errorCode event.idm.read_only_udm.security_result.detection_fields Der Fehlercode wird aus dem Feld errorCode im Rohprotokoll extrahiert und als Erkennungsfeld hinzugefügt.
eventType event.idm.read_only_udm.metadata.product_event_type Der Produktereignistyp wird aus dem Feld eventType im Rohprotokoll extrahiert.
filepath event.idm.read_only_udm.principal.process.file.full_path Der Dateipfad wird aus dem Feld filepath im Rohprotokoll extrahiert.
hostname event.idm.read_only_udm.principal.ip Der Hostname wird aus dem Feld hostname im Rohprotokoll extrahiert und, falls es sich um eine IP-Adresse handelt, der Haupt-IP zugeordnet.
kv_data Verschiedene UDM-Felder Die Schlüssel/Wert-Paare in kv_data werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet.
kv_data1 Verschiedene UDM-Felder Die Schlüssel/Wert-Paare in kv_data1 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet.
kv_data2 Verschiedene UDM-Felder Die Schlüssel/Wert-Paare in kv_data2 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet.
kv_data3 Verschiedene UDM-Felder Die Schlüssel/Wert-Paare in kv_data3 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet.
kv_data4 Verschiedene UDM-Felder Die Schlüssel/Wert-Paare in kv_data4 werden basierend auf ihren Schlüsseln verschiedenen UDM-Feldern zugeordnet.
level event.idm.read_only_udm.security_result.severity Wenn das Feld level „INFO“ lautet, wird es „INFORMATIONSWEISEND“ zugeordnet. Wenn der Wert „ERROR“ ist, wird er „ERROR“ zugeordnet.
managedExternally event.idm.read_only_udm.principal.resource.attribute.labels.value Der Wert „managedExternally“ wird aus dem Feld managedExternally im Rohprotokoll extrahiert und als Label mit dem Schlüssel „managedExternally“ hinzugefügt.
message Verschiedene UDM-Felder Das Nachrichtenfeld wird analysiert, um verschiedene UDM-Felder zu extrahieren.
message_data event.idm.read_only_udm.principal.resource.attribute.labels.value Die Nachrichtendaten werden aus dem Feld message_data im Rohprotokoll extrahiert und als Label mit dem Schlüssel „message“ hinzugefügt.
network_status event.idm.read_only_udm.additional.fields Der Netzwerkstatus wird aus dem Feld network_status im Rohprotokoll extrahiert und als zusätzliches Feld mit dem Schlüssel „Network_Connection_Status“ hinzugefügt.
new_value Verschiedene event.idm.read_only_udm.target-Felder Der neue Wert wird aus dem Feld new_value im Rohprotokoll extrahiert und zum Ausfüllen verschiedener Zielfelder verwendet.
node event.idm.read_only_udm.principal.resource.attribute.labels.value Der Knotenwert wird aus dem Feld node im Rohprotokoll extrahiert und als Label mit dem Schlüssel „Knoten“ hinzugefügt.
old_value Verschiedene UDM-Felder Der alte Wert wird aus dem Feld old_value im Rohprotokoll extrahiert und zum Ausfüllen verschiedener UDM-Felder verwendet.
payload Verschiedene UDM-Felder Die Nutzlast wird aus dem Feld payload im Rohprotokoll extrahiert und zum Ausfüllen verschiedener UDM-Felder verwendet.
pid event.idm.read_only_udm.target.process.pid Die Prozess-ID wird aus dem Feld pid im Rohprotokoll extrahiert.
reqId event.idm.read_only_udm.metadata.product_log_id Die Produktprotokoll-ID wird aus dem Feld reqId im Rohprotokoll extrahiert.
resourceId event.idm.read_only_udm.principal.resource.product_object_id Die Produktobjekt-ID wird aus dem Feld resourceId im Rohprotokoll extrahiert.
s2comp event.idm.read_only_udm.principal.resource.attribute.labels.value Der Wert „s2comp“ wird aus dem Feld s2comp im Rohprotokoll extrahiert und als Label mit dem Schlüssel „s2comp“ hinzugefügt.
ses event.idm.read_only_udm.network.session_id Die Sitzungs-ID wird aus dem Feld ses im Rohprotokoll extrahiert.
src_host event.idm.read_only_udm.principal.hostname Der Haupt-Hostname wird aus dem Feld src_host im Rohprotokoll extrahiert.
src_ip event.idm.read_only_udm.principal.ip Die Quell-IP-Adresse wird aus dem Feld src_ip im Rohprotokoll extrahiert.
src_ip1 event.idm.read_only_udm.principal.ip Die Quell-IP-Adresse wird aus dem Feld src_ip1 im Rohprotokoll extrahiert.
src_port event.idm.read_only_udm.principal.port Der Quellport wird aus dem Feld src_port im Rohprotokoll extrahiert.
startTimeUTC event.idm.read_only_udm.principal.resource.attribute.creation_time Die Erstellungszeit wird aus dem Feld startTimeUTC im Rohprotokoll abgeleitet.
subcomp event.idm.read_only_udm.network.application_protocol oder event.idm.read_only_udm.principal.resource.attribute.labels.value Wenn das Feld subcomp „http“ lautet, wird es „HTTP“ zugeordnet. Andernfalls wird es als Label mit dem Schlüssel „Sub Comp“ hinzugefügt.
tname event.idm.read_only_udm.principal.resource.attribute.labels.value Der Wert „tname“ wird aus dem Feld tname im Rohprotokoll extrahiert und als Label mit dem Schlüssel „tname“ hinzugefügt.
type event.idm.read_only_udm.metadata.product_event_type Der Produktereignistyp wird aus dem Feld type im Rohprotokoll extrahiert.
uid event.idm.read_only_udm.principal.user.userid Die Nutzer-ID wird aus dem Feld uid im Rohprotokoll extrahiert.
update event.idm.read_only_udm.principal.resource.attribute.labels.value Der Wert „update“ wird aus dem Feld update im Rohprotokoll extrahiert und als Label mit dem Schlüssel „update“ hinzugefügt.
user event.idm.read_only_udm.principal.user.user_display_name Der Anzeigename des Nutzers wird aus dem Feld user im Rohprotokoll extrahiert.
vmw_cluster event.idm.read_only_udm.target.resource.name Der Name der Zielressource wird aus dem Feld vmw_cluster im Rohprotokoll extrahiert.
vmw_datacenter event.idm.read_only_udm.target.resource.attribute.labels.value Der Wert „vmw_datacenter“ wird aus dem Feld vmw_datacenter im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_datacenter“ hinzugefügt.
vmw_host event.idm.read_only_udm.target.hostname oder event.idm.read_only_udm.target.ip Wenn das Feld vmw_host ein Hostname ist, wird es dem Ziel-Hostnamen zugeordnet. Andernfalls wird es der Ziel-IP-Adresse zugeordnet.
vmw_object_id event.idm.read_only_udm.target.resource.product_object_id Die Produktobjekt-ID wird aus dem Feld vmw_object_id im Rohprotokoll extrahiert.
vmw_product event.idm.read_only_udm.target.application Die Zielanwendung wird aus dem Feld vmw_product im Rohprotokoll extrahiert.
vmw_vcenter event.idm.read_only_udm.target.cloud.availability_zone Die Verfügbarkeitszone wird aus dem Feld vmw_vcenter im Rohprotokoll extrahiert.
vmw_vcenter_id event.idm.read_only_udm.target.resource.attribute.labels.value Der Wert „vmw_vcenter_id“ wird aus dem Feld vmw_vcenter_id im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_vcenter_id“ hinzugefügt.
vmw_vr_ops_appname event.idm.read_only_udm.intermediary.application Die Zwischenanwendung wird aus dem Feld vmw_vr_ops_appname im Rohprotokoll extrahiert.
vmw_vr_ops_clustername event.idm.read_only_udm.intermediary.resource.name Der Name der Zwischenressource wird aus dem Feld vmw_vr_ops_clustername im Rohprotokoll extrahiert.
vmw_vr_ops_clusterrole event.idm.read_only_udm.intermediary.resource.attribute.roles.name Der Name der Rolle der vermittelnden Ressource wird aus dem Feld vmw_vr_ops_clusterrole im Rohprotokoll extrahiert.
vmw_vr_ops_hostname event.idm.read_only_udm.intermediary.hostname Der Zwischen-Hostname wird aus dem Feld vmw_vr_ops_hostname im Roh-Log extrahiert.
vmw_vr_ops_id event.idm.read_only_udm.intermediary.resource.product_object_id Die ID des Zwischenproduktobjekts wird aus dem Feld vmw_vr_ops_id im Rohprotokoll extrahiert.
vmw_vr_ops_logtype event.idm.read_only_udm.intermediary.resource.attribute.labels.value Der Wert „vmw_vr_ops_logtype“ wird aus dem Feld vmw_vr_ops_logtype im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_vr_ops_logtype“ hinzugefügt.
vmw_vr_ops_nodename event.idm.read_only_udm.intermediary.resource.attribute.labels.value Der Wert „vmw_vr_ops_nodename“ wird aus dem Feld vmw_vr_ops_nodename im Rohprotokoll extrahiert und als Label mit dem Schlüssel „vmw_vr_ops_nodename“ hinzugefügt. Wird durch eine Reihe von bedingten Anweisungen bestimmt, die auf den Werten anderer Felder basieren. Mögliche Werte sind USER_LOGIN, NETWORK_CONNECTION, STATUS_UPDATE und GENERIC_EVENT. Hartcodiert auf „VMWARE_NSX“. Hartcodiert auf „VMWARE_NSX“. Hartcodiert auf „VMWARE_NSX“. Legen Sie „AUTHTYPE_UNSPECIFIED“ fest, wenn Operation „LOGIN“ ist und target_details nicht leer ist, oder wenn message „authentication failure“ enthält und application nicht leer ist. Legen Sie „SSH“ fest, wenn PROTO „ssh2“ ist, oder „HTTP“, wenn subcomp „http“ ist. Wird durch eine Reihe von bedingten Anweisungen bestimmt, die auf den Werten anderer Felder basieren. Mögliche Werte sind „ZULASSEN“ und „BLOCKIEREN“. Legen Sie „VIRTUAL_MACHINE“ fest, wenn vmw_cluster nicht leer ist.

Änderungen

2023-11-15

  • Verbesserung: Im Feld „Alter Wert“:
  • „unique_id“ wurde auf „principal.resource.product_object_id“ zugeordnet.
  • „resource_type“ wurde in „principal.resource.sub_type“ umgewandelt.
  • „_create_user“ und „_last_modified_user“ wurden auf „principal.user.email_addresses“ zugeordnet.
  • „action“ wurde in „security_result.action“ geändert.
  • „rule_id“ wurde in „security_result.rule_id“ umgewandelt.
  • „display_name“ wurde „principal.resource.name“ zugeordnet.
  • „_last_modified_time“ wurde in „principal.resource.attribute.last_update_time“ geändert.
  • „_create_time“ wurde in „principal.resource.attribute.creation_time“ umgewandelt.
  • „parent_path“ wurde „principal.resource.parent“ zugeordnet.
  • „path“ wurde auf „principal.process.file.full_path“ zugeordnet.
  • „id“ wurde „principal.resource.id“ zugeordnet.
  • Über das Feld „Neuer Wert“:
  • „resource_type“ wurde in „target.resource.sub_type“ umgewandelt.
  • „unique_id“ wurde auf „target.resource.product_object_id“ zugeordnet.
  • „path“ wurde „target.process.file.full_path“ zugeordnet.
  • „display_name“ wurde „target.resource.name“ zugeordnet.
  • „id“ wurde „target.resource.id“ zugeordnet.
  • „vmw_host“ wurde basierend auf dem Wert in „vmw_host“ zu „target_details.hostname“ oder „target_details.ip“ zugeordnet.
  • „vmw_product“ wurde auf „target.application“ zugeordnet.
  • „vmw_vcenter“ wurde „target.cloud.availability_zone“ zugeordnet.
  • „vmw_cluster“ wurde „target.resource.name“ zugeordnet.
  • „vmw_object_id“ wurde auf „target.resource.product_object_id“ zugeordnet.
  • „vmw_datacenter“ wurde auf „target.resource.attribute.labels“ zugeordnet.
  • „vmw_vcenter_id“ wurde auf „target.resource.attribute.labels“ zugeordnet.
  • „vmw_vr_ops_logtype“ wurde auf „intermediary.resource.attribute.labels“ zugeordnet.
  • „vmw_vr_ops_appname“ wurde „intermediary.application“ zugeordnet.
  • „vmw_vr_ops_hostname“ wurde „intermediary.hostname“ zugeordnet.
  • „vmw_vr_ops_nodename“ wurde „intermediary.resource.attribute.labels“ zugeordnet.
  • „vmw_vr_ops_clustername“ wurde „intermediary.resource.name“ zugeordnet.
  • „vmw_vr_ops_clusterrole“ wurde auf „intermediary.resource.attribute.labels.roles.name“ zugeordnet.
  • „vmw_vr_ops_id“ wurde „intermediary.resource.product_object_id“ zugeordnet.

2023-10-13

  • Verbesserung: Ein Grok-Muster wurde geändert, um „sourceIp“ mit Ports zu parsen.
  • „vmw_host“, „vmw_product“, „vmw_vcenter“, „vmw_cluster“, „vmw_vr_ops_id“, „vmw_object_id“, „vmw_datacenter“, „vmw_vcenter_id“, „vmw_vr_ops_logtype“, „vmw_vr_ops_appname“, „vmw_vr_ops_hostname“, „vmw_vr_ops_nodename“, „vmw_vr_ops_clustername“, „vmw_vr_ops_clusterrole“, „managedExternally“, „update“, „filepath“, „eventType“, „resourceId“ wurden in „principal.resource.attribute.labels“ geändert.
  • Felder in „payload“ wurden „principal.resource.attribute.labels“ zugeordnet.
  • „client“ wurde auf „principal.ip“ zugeordnet
  • Felder in „new_value“ wurden „target.resource.attribute.labels“ zugeordnet.

2023-10-03

  • Verbesserung: Es wurde ein Grok-Muster hinzugefügt, um zu prüfen, ob „sourceIp“ eine gültige IP-Adresse ist, bevor sie dem UDM-Feld zugeordnet wird.

2023-09-12

  • Verbesserung: Unterstützung für syslog-Protokolle mit den Feldern „Neuer Wert“ und „Alter Wert“ hinzugefügt.

2023-06-26

  • Zugeordnete Werte in „PASS“, „DROP“, „REJECT“, „NAT“, „NONAT“, „RDR“, „NORDR“, „PUNT“, „REDIRECT“ und „COPY“ werden unter „additional.fields“ als „Network_Status“ zugeordnet.

2023-03-07

  • „errorCode“ wurde in „security_result.detection_fields“ zugeordnet.
  • „app_type“ wurde auf „principal.application“ zugeordnet.
  • „tname“, „s2comp“ und „node“ wurden auf „principal.resource.attribute.labels“ zugeordnet.
  • „exe“ wurde „target.process.file.full_path“ zugeordnet.
  • „dst_ip“ wurde in „target.ip“ umgewandelt.
  • „ses“ wurde „network.session_id“ zugeordnet.
  • „hostname“ wurde „principal.ip“ zugeordnet.
  • „direction“ wurde „network.direction“ zugeordnet.
  • „reqId“ wurde „metadata.product_log_id“ zugeordnet.

2022-06-10

  • Neu erstellter Parser