IIS の変更ログ
| Date | 変更点 |
|---|---|
| 2024-01-09 | 機能強化:
- Key-Value データを含むネットワーク ログをサポートする新しい Grok パターンを追加しました。 - 「dst_ip2」を「target.ip」にマッピングしました。 - 「X-BackEndCookie」、「exchangecookie」、「OutlookSession」、「MapiContext」、「MapiRouting」、「content_type」、「MapiSequence」を「additional.fields」にマッピングしました。 |
| 2023-12-19 | 拡張:
- 「EventType」が「VERBOSE」の場合、値として「Configuration」を「metadata.product_event_type」にマッピングしました。 - 「Message」が「security_result.description」にマッピングされました。 - 「PhysicalPath」が「target.file.full_path」にマッピングされました。 - 「OldValue」、「NewValue」、「Configuration」、「ConfigPath」が「additional.fields」にマッピングされました。 |
| 2023-12-06 | 機能拡張:
- 「@timestamp」が「metadata.event_timestamp」にマッピングされました。 - 「host.hostname」が「target.hostname」にマッピングされました。 - 「logstash.process.host」が「intermediary.hostname」にマッピングされました。 - 「logstash.collect.host」が「observer.hostname」にマッピングされました。 - 「_user」が「principal.user.userid」にマッピングされました。 - 「http_response」が「network.http.response_code」にマッピングされました。 - 「referer」が「network.http.referral_url」にマッピングされました。 - 「syslog_severity」が「security_result.severity_details」にマッピングされました。 - 「message」が「security_result.description」にマッピングされました。 - 「_request_url」が「/login.aspx」で「_entity」が「AutoLogout=1」の場合は、「metadata.event_type」を「USER_LOGOUT」に設定します。 - 「_request_url」が「/login.aspx」の場合は、「metadata.event_type」を「USER_LOGIN」に設定します。 |
| 2023-10-27 | 機能拡張:
- 「Noun.hostname」と「Noun.asset.hostname」を同じ値にマッピングしました。 - 「cIP」が「target.ip」にマッピングされました。 - 「csUriStem」が「target.url」にマッピングされました。 - 「sPort」が「principal.port」にマッピングされました。 - 「csUserAgent」が「http.user_agent」にマッピングされました。 - 「sIP」が「principal.ip」にマッピングしました。 - 「csMethod」が「network.http.method」にマッピングしました。 - 「scStatus」が「http.response_code」にマッピングしました。 - 「sComputerName」が「target.hostname」にマッピングしました。 - 「_resourceId」が「target.resource.id」にマッピングしました。 - 「scBytes」が「network.sent_bytes」にマッピングしました。 - 「csBytes」が「network.received_bytes」にマッピングされました。 - 「sSiteName」、「TenantId」、「EventProcessedUtcTime」、「ManagementGroupName」、「EventEnqueuedUtcTime」が「additional.fields」にマッピングされました。 - 「TimeGenerated」が「about.resource.attributes.labels」にマッピングされました。 - 「SourceSystem」が「security_result.detection_fields」にマッピングされました。 |
| 2023-06-23 | バグの修正 - ログ形式の変更 - 変更されたログパターンの grok を定義しました - cs-host から principal.application にマッピングしました - target.url に if-else を使用して uristem と cs-uri-stem をマッピングしました - cs-version を network.tls.version_protocol にマッピングしました - 重大度の値を Level フィールドの値に置き換えました - sitename の値を s-sitename に置き換えました - UserSid の値を UserID に置き換えました - AgentDevice をラベルキーと値にマッピングしました - 「app_name」を principal.application にマッピングしました - 「ChannelID」を security_result.about.resource.attribute にマッピングしました - 「Level」を security_result.severity にマッピングしました - 「ExecutionProcessID」を principal.process.pid にマッピングしました - 「ExecutionThreadID」を principal.process.product_specific_process_id にマッピングしました - 「ドメイン」を principal.user.userid にマッピングしました - 「UserID」を principal.user.windows_sid にマッピングしました - 「AccountType」を principal.user.role_name にマッピングしました |
| 2023-05-12 | 機能強化 - 失敗した JSON ログを解析しました
- 「cshost」を「principal.hostname」にマッピングしました。 - 「csusername」を「principal.user.user_display_name」にマッピングしました。 - 「sip」を「target.ip」にマッピングしました。 - 「uristem」を「target.url」にマッピングしました。 - 「sport」を「target.port」にマッピングしました。 - 「csversion」が「network.tls.version_protocol」にマッピングされました。 - 「csuseragent」が「network.http.user_agent」にマッピングされました。 - 「csip」が「principal.ip」にマッピングされました。 - 「xforwardedfor」が「principal.ip」にマッピングされました。 - 「csmethod」が「network.http.method」にマッピングされました。 - 「csreferer」を「network.http.referral_url」にマッピングしました。 - 「scstatus」を「network.http.response_code」にマッピングしました。 - 「computername」を「target.asset.hostname」にマッピングしました。 - 「scbyte」を「network.sent_bytes」にマッピングしました。 - 「csbyte」が「network.received_bytes」にマッピングされました。 - 「date」と「time」が「metadata.event_timestamp」にマッピングされました。 |
| 2023-03-01 | 機能強化 - 「c-*」、「s-*」、「cs-*」、「sc-*」などのキーを持つ JSON 形式のログのサポートを追加しました。
|
| 2022-10-25 | 機能拡張:
- ログから "uri_query"、"intermediary_device_name"、"principal_username"、"sent_bytes"、"received_bytes" を抽出しました。 - 「dst_port」を「src_port」に変更しました。 - 「src_port」が「principal.port」にマッピングされました。 - 「target.url」マッピングを「request_url」+?+「uri_query」に更新しました。 - 「token_data」を「Cookie」として「security_result.detection_fields」にマッピングしました。 - 「sent_bytes」を「network.sent_bytes」にマッピングします。 - 「Receivedd_bytes」が「network.received_bytes」にマッピングされます。 - 「target_host」が空の場合は「intermediary_devicename」を「target.hostname」にマッピングし、それ以外の場合は「intermediary.hostname」にマッピングしました。 - 「principal_username」が「principal.user.userid」にマッピングされました。 - 「target_host」が空の場合にのみ、「Devicename」を「target.hostname」にマッピングしました。 - 「xff_ips」が空の場合、「src_ip」が「principal.ip」にマッピングされました。 -「xff_ips」が空でない場合: 「src_ip」が「intermediary.ip」にマッピングされました。 「xff_ips」が「principal.ip」にマッピングされました。 - その他のログタイプ用の Grok パターンを追加しました。 |
| 2022-10-01 | 機能強化 - - 未解析の syslog を解析するために grok を書き込みました。 - 「Severity」を「security_result.severity」にマッピングしました。 - 「UserName」を「target.user.userid」にマッピングしました。 - 「UserSid」を「target.user.windows_sid」にマッピングしました。 - 「ProviderKey」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「LayerKey」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「LayerName」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「LayerId」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「重み」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「条件」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「アクション」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「CalloutKey」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「CalloutName」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「Channel」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「FilterId」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「FilterKey」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「FilterName」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「FilterType」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「ProviderGuid」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「ProviderName」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「SourceName」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「SyslogSeverity」を「security_result.about.resource.attributes.labels」にマッピングしました。 - 「Category」を「security_result.category_details」にマッピングしました。 - 「EventType」を「metadata.product_event_type」にマッピングしました。 - 「EventID」を「metadata.product_log_id」にマッピングしました。 - 「ProcessID」を「principal.process.pid」にマッピングしました。 - 「SourceModuleName」を「target.resource.name」にマッピングしました。 - 「SourceModuleType」を「observer.application」にマッピングしました。 |
| 2022-09-30 | 機能拡張 - xff ヘッダー IP が intermediary.ip にマッピングされました。 - ホスト名が target.hostname にマッピングされます。 - 追加情報を含む特定のログを正しく解析し、その追加情報を追加フィールドにマッピングするための grok パターンを追加しました。 - ASP.NET_Session_id を network.session_id にマッピングしました。 |
| 2022-03-30 | 追加フィールドの強化-解析。
|