MICROSOFT_SQL 변경 로그

날짜	변경사항
2023-12-20	개선사항 - - gsub를 통해 인코딩된 로그가 디코딩되었습니다. - 'host.ip'가 'principal.ip'에 매핑되었습니다. - 추가 필드가 매핑되도록 Grok 패턴이 추가되었습니다. - 'error'가 'security_result.detection_fields'에 매핑되었습니다. - 'err_msg'가 'security_result.description'에 매핑되었습니다.
2023-10-09	개선사항 - - 새로운 로그 형식이 지원되도록 Grok 패턴이 추가되었습니다. - 사용자 정보를 사용할 수 없는 경우 'SQlINstance'가 'principal.hostname'에 매핑되었습니다.
2023-08-17	개선사항 - - 'host' 필드가 null이 아닌 경우 'event_type'이 'STATUS_STARTUP' 또는 'STATUS_SHUTDOWN'인지 확인하는 검사가 제공되었습니다.
2023-07-04	버그 수정 - - 'clientip' 또는 'host'와 같은 필드가 없으므로 일부 로그에서 'event_type'이 'USER_LOGIN'에서 'USER_UNCATEGORIZED'로, 'STATUS_UNCATEFORIZED'에서 'GENERIC_EVENT'로 변경되었습니다. - 매핑 전에 'Date' 및 'Time'이 null로 초기화되고 null 검사가 제공되었습니다. - 'AgentDevice', 'AgentLogFile', 'Source', 'ProcessInfo'가 'additional.fields'에 매핑되었습니다. - 'SQlINstance'가 'intermediary.hostname'에 매핑되었습니다.
2023-05-09	개선사항 - - JSON 데이터가 검색되도록 JSON 블록이 추가되었습니다. - 'source'가 'principal.resource.attribute.labels'에 매핑되었습니다. - 'msg'가 'metadata.description'에 매핑되었습니다.
2023-01-18	개선사항 - 'agent.type', 'agent.id', 'agent.hostname', 'agent.version', 'event.provider', 'event.code', 'log.level', 'ecs.version', 'timestamp' 필드에 대한 null 조건부 검사가 추가되었습니다. - 'EventID' 필드가 'metadata.product_event_type'에 매핑되었습니다. - 'SourceModuleType' 필드가 'observer.application'에 매핑되었습니다. - 'SourceModuleName' 필드가 'additional.fields'에 매핑되었습니다. - 'Severity' 필드가 'security_result.severity'에 매핑되었습니다. - 이벤트가 'Audit Event'인 경우 다음 매핑이 추가되었습니다. - 'client_ip' 필드가 'principal.ip'에 매핑되었습니다. - 'database_name' 필드가 'target.resource_ancestors.name' 및 'DATABASE'로 매핑된 'target.resource_ancestors.resource_type'에 매핑되었습니다. - 'schema_name' 필드가 'target.resource_ancestors.resource_subtype'에 매핑되었습니다. - 'statement' 필드가 'target.process.command_line'에 매핑되었습니다. - 'object_name' 필드가 'target.resource.name' 및 'TABLE'로 매핑된 'target.resource.resource_type'에 매핑되었습니다. - 'application_name' 필드가 'target.application'에 매핑되었습니다. - 'sequence_number' 필드가 'target.resource.attribute.labels'에 매핑되었습니다. - 'transaction_id' 필드가 'target.resource.attribute.labels'에 매핑되었습니다. - 'Message' 필드에 'Log was backed up'이 포함된 경우 다음 매핑이 추가되었습니다. - 'Database' 필드가 'target.resource.name'에 매핑되었고 'DATABASE'로 'target.resource.resource_type'에 매핑되었습니다. - 'first LSN' 필드가 'target.resource.attribute.labels'에 매핑되었습니다. - 'last LSN' 필드가 'target.resource.attribute.labels'에 매핑되었습니다. - 'UserID' 필드가 'principal.user.windows_sid'에 매핑되었습니다. - 'Message' 필드에 'Starting up database'가 포함된 경우 다음 매핑이 추가되었습니다. - 'Database' 필드가 'target.resource.name'에 매핑되었고 'DATABASE'로 'target.resource.resource_type에 매핑되었습니다. - 'AccountName' 필드가 'principal.user.userid'에 매핑되었습니다. - 'UserID' 필드가 'principal.user.windows_sid'에 매핑되었습니다.
2022-08-09	개선사항 - JSON 형식의 로그에서 'winlog.computer_name' 필드의 매핑이 'principal.asset.hostname'에서 'event.idm.read_only_udm.about.hostname'으로 수정되었습니다.
2022-07-01	버그 수정 - JSON 형식의 로그에서 'host.name'이 'observer.hostname'에 매핑되었습니다.
2022-05-31	개선사항 - 새 JSON 형식 로그와 키-값 필드가 포함된 로그가 파싱되었습니다. 또한 'NXLOG'가 있는 syslog 로그가 파싱되었습니다. 고객별 버전이 기본값으로 이동했습니다. 다음 새 필드가 매핑되었습니다. JSON 형식 로그: winlog.computer_name, agent.type, agent.version, agent.id, agent.hostname, ecs.version, log.level, event.provider, event.code, host.name, logstash.process.host, message, timestamp 키-값 형식 로그: TextData, HostName, ApplicationName, LoginName, ObjectName, ObjectType, DatabaseID,DatabaseName, SPID, SourceModuleName, SourceModuleType