MICROSOFT_SQL の変更ログ

Date 変更点
2023-12-20 機能拡張 -
- gsub を使用してエンコードされたログをデコードしました。
- 「host.ip」が「principal.ip」にマッピングされました。
- 追加のフィールドをマッピングするための Grok パターンを追加しました。
- 「error」が「security_result.detection_fields」にマッピングされました。
- 「err_msg」が「security_result.description」にマッピングされました。
2023-10-09 機能拡張 -
- 新しいログ形式をサポートする Grok パターンを追加しました。
- ユーザー情報が利用できない場合の、「SQlINstance」が「principal.hostname」にマッピングされました。
2023-08-17 機能拡張 -
- フィールド「host」が null ではない場合の、「event_type」が「STATUS_STARTUP」または「STATUS_SHUTDOWN」であることのチェックを追加しました。
2023-07-04 バグ修正 -
- 「clientip」や「host」などのフィールドが存在しないため、一部のログで「event_type」を「USER_LOGIN」から「USER_UNCATEGORIZED」、「STATUS_UNCATEFORIZED」から「GENERIC_EVENT」に変更しました。
- 「Date」と「Time」を null に初期化し、マッピング前に null チェックを行いました。
- 「AgentDevice」、「AgentLogFile」、「Source」、「ProcessInfo」を「additional.fields」にマッピングしました。
- 「SQlINstance」が「intermediary.hostname」にマッピングされました。
2023-05-09 機能拡張 -
- JSON データを取得するための JSON ブロックを追加しました。
- 「source」が「principal.resource.attribute.labels」にマッピングされました。
- 「msg」が「metadata.description」にマッピングされました。
2023-01-18 機能拡張 - 次のフィールドの null 条件チェックを追加しました: 'agent.type'、'agent.id'、'agent.hostname'、'agent.version'、'event.provider'、'event.code'、'log.level'、'ecs.version'、'timestamp'。
- フィールド「EventID」が「metadata.product_event_type」にマッピングされました。
- フィールド「SourceModuleType」が「observer.application」にマッピングされました。
- フィールド「SourceModuleName」が「additional.fields」にマッピングされました。
- フィールド「Severity」が「security_result.severity」にマッピングされました。
- イベントが「Audit Event」の場合の次のマッピングを追加しました。
- フィールド「client_ip」が「principal.ip」にマッピングされました。
- フィールド「database_name」が「target.resource_ancestors.name」にマッピングされ、「target.resource_ancestors.resource_type」が「DATABASE」としてマッピングされました。
- フィールド「schema_name」が「target.resource_ancestors.resource_subtype」にマッピングされました。
- フィールド「statement」が「target.process.command_line」にマッピングされました。
- フィールド「object_name」が「target.resource.name」にマッピングされ、「target.resource.resource_type」が「TABLE」としてマッピングされました。
- フィールド「application_name」が「target.application」にマッピングされました。
- フィールド「sequence_number」が「target.resource.attribute.labels」にマッピングされました。
- フィールド「transaction_id」が「target.resource.attribute.labels」にマッピングされました。
- フィールド「Message」に「Log was backed up」含まれる場合の次のマッピングを追加しました。
- フィールド「Database」が「target.resource.name」にマッピングされ、「target.resource.resource_type」が「DATABASE」としてマッピングされました。
- フィールド「first LSN」が「target.resource.attribute.labels」にマッピングされました。
- フィールド「last LSN」が「target.resource.attribute.labels」にマッピングされました。
- フィールド「UserID」が「principal.user.windows_sid」にマッピングされました。
- フィールド「Message」に「Starting up database」含まれる場合の次のマッピングを追加しました。
- フィールド「Database」が「target.resource.name」にマッピングされ、「target.resource.resource_type」が「DATABASE」としてマッピングされました。
- フィールド「AccountName」が「principal.user.userid」にマッピングされました。
- フィールド「UserID」が「principal.user.windows_sid」にマッピングされました。
2022-08-09 機能拡張 - JSON 形式のログのフィールド「winlog.computer_name」のマッピングを、「principal.asset.hostname」から「event.idm.read_only_udm.about.hostname」に変更しました。
2022-07-01 バグ修正 - JSON 形式のログの「host.name」を「observer.hostname」にマッピングしました。
2022-05-31 機能拡張 - 新しい JSON 形式のログと Key-Value フィールドを含むログを解析しました。また、「NXLOG」を持つ syslog ログを解析しました。
お客様固有のバージョンをデフォルトに移動しました。
次の新しいフィールドをマッピングしました :
JSON 形式のログ :
winlog.computer_name, agent.type, agent.version, agent.id, agent.hostname, ecs.version, log.level, event.provider, event.code, host.name, logstash.process.host, message, timestamp.
Key-Value 形式のログ :
TextData, HostName, ApplicationName, LoginName, ObjectName, ObjectType, DatabaseID,DatabaseName, SPID, SourceModuleName, SourceModuleType.