收集 Symantec Endpoint Protection 日志
支持的平台:
Google secops
Siem
本文档介绍了如何使用 Bindplane 将 Symantec Endpoint Protection 日志注入到 Google 安全运营中心。解析器会以 SYSLOG 或 KV 格式处理日志,首先从日志数据中的各种格式中提取时间戳。然后,它会使用单独的配置文件 (sep_pt2.include) 对日志事件进行进一步解析和结构化,确保仅在初始时间戳提取成功时才能成功处理。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者搭载 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于打开状态
- 对 Symantec Endpoint Protection 平台的超级用户访问权限
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: `0.0.0.0:514` exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'CES' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Symantec Endpoint Protection 中配置 Syslog
- 登录 Symantec Endpoint Protection Manager Web 界面。
- 点击管理图标。
- 找到查看服务器部分,然后点击服务器。
- 依次点击本地网站 > 配置外部日志记录。
- 选中启用将日志传输到 Syslog 服务器复选框。
- 提供以下配置详细信息:
- Syslog 服务器:输入 Bindplane IP 地址。
- UDP 目标端口:输入绑定层端口号(例如,对于 UDP,请输入
514)。 - 日志设施:输入 Local6。
- 选中审核日志复选框。
- 选中安全日志复选框。
- 选中风险复选框。
- 点击确定。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | security_result.action | 该值取自原始日志中的 Action 字段,并映射到 UDM 操作。 |
| 操作类型 | security_result.action_details | 该值取自原始日志中的 Action Type 字段。 |
| 管理员 | ||
| 允许应用的原因 | security_result.action_details | 该值取自原始日志中的 Allowed application reason 字段。 |
| 应用 | principal.process.command_line | 该值取自原始日志中的 Application 字段。 |
| 应用哈希 | target.file.sha256 | 该值取自原始日志中的 Application hash 字段。 |
| 应用名称 | target.application | 该值取自原始日志中的 Application name 字段。 |
| 应用类型 | target.resource.attribute.labels.value | 该值取自原始日志中的 Application type 字段。该键已硬编码为 Application Type。 |
| 应用版本 | target.application.version | 该值取自原始日志中的 Application version 字段。 |
| 开始 | ||
| 开始时间 | extensions.vulns.vulnerabilities.scan_start_time | 该值取自原始日志中的 Begin Time 字段。 |
| 开始: | extensions.vulns.vulnerabilities.scan_start_time | 该值取自原始日志中的 Begin: 字段。 |
| 类别 | principal.resource.attribute.labels.value | 该值取自原始日志中的 Category 字段。该键已硬编码为 Category。 |
| 类别组合 | security_result.category | 该值取自原始日志中的 Category set 字段,并映射到 UDM 类别。 |
| 类别类型 | security_result.category_details | 该值取自原始日志中的 Category type 字段。 |
| CIDS 签名 ID | ||
| CIDS 签名字符串 | security_result.summary | 该值取自原始日志中的 CIDS Signature string 字段。 |
| CIDS 签名子 ID | ||
| 客户端政策 | ||
| 命令 | ||
| 计算机 | target.hostname | 该值取自原始日志中的 Computer 字段。 |
| 计算机名称 | principal.hostname | 该值取自原始日志中的 Computer name 字段。 |
| 置信度 | security_result.confidence_details | 该值取自原始日志中的 Confidence 字段。 |
| 数据 | ||
| 说明 | security_result.action_details | 该值取自原始日志中的 Description 字段。 |
| 说明: | security_result.action_details | 该值取自原始日志中的 Description: 字段。 |
| 检测得分 | ||
| 检测提交内容 否 | ||
| 检测类型 | security_result.summary | 该值取自原始日志中的 Detection type 字段。 |
| 设备 ID | target.asset.hostname | 该值取自原始日志中的 Device ID 字段。 |
| 处理方式 | security_result.action | 该值取自原始日志中的 Disposition 字段,并映射到 UDM 操作。 |
| 网域 | principal.administrative_domain | 该值取自原始日志中的 Domain 字段。 |
| 域名 | principal.administrative_domain | 该值取自原始日志中的 Domain Name 字段。 |
| 域名: | principal.administrative_domain | 该值取自原始日志中的 Domain Name: 字段。 |
| 下载者 | principal.process.file.full_path | 该值取自原始日志中的 Downloaded by 字段。 |
| 下载网站 | ||
| 时长(秒) | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 Duration (seconds) 字段,并添加到扫描开始时间。 |
| 结束 | ||
| 结束时间 | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 End Time 字段。 |
| 结束时间: | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 End Time: 字段。 |
| 结束值: | extensions.vulns.vulnerabilities.scan_end_time | 该值取自原始日志中的 End: 字段。 |
| 事件描述 | metadata.description | 该值取自原始日志中的 Event Description 字段。 |
| 事件说明: | metadata.description | 该值取自原始日志中的 Event Description: 字段。 |
| 事件插入时间 | ||
| 事件时间 | metadata.event_timestamp | 该值取自原始日志中的 Event time 字段。 |
| 活动时间: | metadata.event_timestamp | 该值取自原始日志中的 Event time: 字段。 |
| 事件类型 | metadata.product_event_type | 该值取自原始日志中的 Event Type 字段。 |
| 活动类型: | metadata.product_event_type | 该值取自原始日志中的 Event Type: 字段。 |
| 文件路径 | target.file.full_path | 该值取自原始日志中的 File path 字段。 |
| 文件路径: | target.file.full_path | 该值取自原始日志中的 File path: 字段。 |
| 文件大小(字节) | target.file.size | 该值取自原始日志中的 File size (bytes) 字段。 |
| 首次出现时间 | security_result.action_details | 该值取自原始日志中的 First Seen 字段。 |
| 首次出现时间: | security_result.action_details | 该值取自原始日志中的 First Seen: 字段。 |
| 群组 | principal.group.group_display_name | 该值取自原始日志中的 Group 字段。 |
| 组名称 | principal.group.group_display_name | 该值取自原始日志中的 Group Name 字段。 |
| 组名称: | principal.group.group_display_name | 该值取自原始日志中的 Group Name: 字段。 |
| 哈希类型 | target.resource.attribute.labels.value | 该值取自原始日志中的 Hash type 字段。该键已硬编码为 Hash Type。 |
| 强化保护级别 | ||
| 入侵 ID | ||
| 入侵载荷网址 | ||
| 入侵网址 | ||
| IP 地址 | principal.ip | 该值取自原始日志中的 IP Address 字段。 |
| IP 地址: | principal.ip | 该值取自原始日志中的 IP Address: 字段。 |
| 上次更新时间 | ||
| 本地主机 | principal.ip | 该值取自原始日志中的 Local Host 字段。 |
| 本地主机 IP | principal.ip | 该值取自原始日志中的 Local Host IP 字段。 |
| 本地主机 MAC | principal.mac | 该值取自原始日志中的 Local Host MAC 字段。 |
| 本地端口 | principal.port | 该值取自原始日志中的 Local Port 字段。 |
| 位置 | ||
| MD-5 | ||
| 出现次数 | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的 Occurrences 字段。该键已硬编码为 Occurrences。 |
| 允许应用的原因 | security_result.action_details | 该值取自原始日志中的 Permitted application reason 字段。 |
| 普及率 | security_result.description | 该值取自原始日志中的 Prevalence 字段。 |
| 远程路径 | target.file.full_path | 该值取自原始日志中的 Remote file path 字段。 |
| 远程主机 IP | target.ip | 该值取自原始日志中的 Remote Host IP 字段。 |
| 远程主机 MAC | target.mac | 该值取自原始日志中的 Remote Host MAC 字段。 |
| 远程主机名 | target.hostname | 该值取自原始日志中的 Remote Host Name 字段。 |
| 远程端口 | target.port | 该值取自原始日志中的 Remote Port 字段。 |
| 要求采取的措施 | security_result.action | 该值取自原始日志中的 Requested action 字段,并映射到 UDM 操作。 |
| 风险等级 | security_result.severity | 该值取自原始日志中的 Risk Level 字段,并映射到 UDM 严重程度。 |
| 风险名称 | security_result.threat_name | 该值取自原始日志中的 Risk name 字段。 |
| 风险类型 | security_result.detection_fields.value | 该值取自原始日志中的 Risk type 字段。该键已硬编码为 Risk Type。 |
| 规则 | principal.resource.name | 该值取自原始日志中的 Rule 字段。 |
| 规则: | principal.resource.name | 该值取自原始日志中的 Rule: 字段。 |
| 扫描 ID | extensions.vulns.vulnerabilities.name | 该值取自原始日志中的 Scan ID 字段。 |
| 扫描 ID: | extensions.vulns.vulnerabilities.name | 该值取自原始日志中的 Scan ID: 字段。 |
| 扫描类型 | ||
| 次要操作 | target.resource.attribute.labels.value | 该值取自原始日志中的 Secondary action 字段。该键已硬编码为 Secondary action。 |
| 发现安全风险 | metadata.description | 该值取自原始日志中的 Security risk found 字段。 |
| 服务器 | intermediary.hostname | 该值取自原始日志中的 Server 字段。 |
| 服务器名称 | intermediary.hostname | 该值取自原始日志中的 Server Name 字段。 |
| 服务器名称: | intermediary.hostname | 该值取自原始日志中的 Server Name: 字段。 |
| SHA-256 | principal.process.file.sha256 | 该值取自原始日志中的 SHA-256 字段。 |
| 网站 | additional.fields.value.string_value | 该值取自原始日志中的 Site 字段。该键已硬编码为 Site Name。 |
| 网站名称 | additional.fields.value.string_value | 该值取自原始日志中的 Site Name 字段。该键已硬编码为 Site Name。 |
| 站点: | additional.fields.value.string_value | 该值取自原始日志中的 Site: 字段。该键已硬编码为 Site Name。 |
| 来源 | metadata.product_event_type | 该值取自原始日志中的 Source 字段,并附加到硬编码的字符串 Security risk found -。 |
| 来源计算机 | ||
| 来源计算机: | ||
| 来源 IP | ||
| 来源 IP: | ||
| 来源: | metadata.product_event_type | 该值取自原始日志中的 Source: 字段,并附加到硬编码的字符串 Security risk found -。 |
| ts | metadata.event_timestamp | 该值取自原始日志中的 ts 字段。 |
| 网址跟踪状态 | ||
| 用户 | principal.user.userid | 该值取自原始日志中的 User 字段。 |
| 用户名 | principal.user.userid | 该值取自原始日志中的 User Name 字段。 |
| 用户名: | principal.user.userid | 该值取自原始日志中的 User Name: 字段。 |
| 网域 | ||
| metadata.description | 如果原始日志包含字符串 The client has downloaded,则说明会设为 The client has downloaded {target file name}。如果原始日志包含字符串 The management server received,则说明会设为 The management server received the client log successfully。否则,系统会将说明设置为原始日志中的 Event Description 字段的值。 |
|
| metadata.event_type | 事件类型由解析器逻辑根据原始日志的内容确定。 | |
| metadata.log_type | 日志类型已硬编码为 SEP。 |
|
| metadata.product_name | 产品名称已硬编码为 SEP。 |
|
| metadata.vendor_name | 供应商名称已硬编码为 Symantec。 |
变化
2025-01-09
增强功能:
- 如果
Actual action值为Left alone,则将security_result.action的映射从BLOCK更改为UNKNOWN_ACTION。 - 将
computer的映射从intermediary.hostname更改为principal.hostname和principal.asset.hostname。 - 将
syslogServer的映射从principal.hostname更改为intermediary.hostname。
2024-12-12
增强功能:
- 添加了 Grok 模式,用于解析新格式的 syslog 日志。
- 将
anvpap-srv1映射到intermediary.hostname。 - 将
SymantecServer映射到principal.hostname。 - 将
Remote Host Name映射到target.hostname。 - 将
Remote Port映射到target.port。 - 将
Remote Host IP映射到target.ip。 - 将
Local Port映射到principal.port。 - 将
Remote Host MAC映射到principal.mac。 - 将
ICMP映射到network.ip_protocol。 - 将
Inbound映射到network.direction。 - 将
Application映射到principal.process.file.full_path。 - 将
Rule映射到security_result.rule_name。 - 将
Action映射到security_result.action。 - 将
SHA-256映射到principal.process.file.sha256。
2024-11-21
增强功能:
- 添加了
gsub来解析新的日志格式。 - 向
event_description添加了 Grok 模式,以解析字段。 - 将
File映射到principal.process.file.full_path。 - 将
Size映射到principal.process.file.size。
2024-11-07
增强功能:
- 将
SITE_NAME和SOURCE映射到additional.fields。 - 将
SOURCE映射到security_result.description。
2024-10-25
增强功能:
- 将
SCAN_ID、CATEGORY_DESC、CLIENT_TYPE、DETECTION_TYPE、HELP_VIRUS_IDX、HPP_APP_TYPE、IDX、LAST_LOG_SESSION_GUID、SITE_TYPE、UUID、VBIN_ID和VIRUS_TYPE映射到additional.fields。 - 将
USER_DOMAIN_NAME映射到target.administrative_domain。 - 将
COMPUTER_DOMAIN_NAME映射到principal.administrative_domain。 - 将
IP_ADDR1映射到src.ip。 - 将
SOURCE_COMPUTER_NAME映射到src.asset.hostname和src.hostname。 - 将
COMPUTER_NAME映射到principal.asset.hostname和principal.hostname。 - 将
OPERATION_SYSTEM映射到principal.asset.platform_software.platform。 - 将
SERVICE_PACK映射到principal.asset.platform_software.platform_version。 - 将
SOURCE_COMPUTER_IP映射到principal.ip和principal.asset.ip。 - 将
ALERT映射到metadata.product_event_type。 - 将
USER_NAME映射到principal.user.userid。 - 将
BIOS_SERIALNUMBER映射到principal.asset.hardware.serial_number。 - 将
ACTUALACTION映射到security_result.action_details。 - 将
VIRUSNAME映射到security_result.threat_name。 - 将
NOOFVIRUSES映射到security_result.verdict_info.malicious_count。 - 将
SOURCE、DESCRIPTION和REQUESTEDACTION映射到security_result.detection_fields。 - 将
CLIENT_GROUP映射到principal.group.group_display_name。 - 将
downloader映射到principal.process.file.full_path。
2024-10-24
增强功能:
- 添加了对使用
logType作为IPS、Network Intrusion Protection System、REP、Memory Exploit Mitigation System和NTR解析日志的支持。
2024-10-08
增强功能:
- 添加了对新格式的 Syslog 日志的支持。
2024-09-23
增强功能:
- 将
rule_name的映射从principal.resource.name更改为security_result.rule_name。 - 移除了将
principal.resource.resource_type映射为FIREWALL_RULE的映射。 - 将
security_result.category的映射从ACL_VIOLATION更改为UNKNOWN_CATEGORY。
2024-09-11
增强功能:
- 添加了对数组类型日志的支持。
2024-08-08
增强功能:
- 将
REQUESTEDACTION映射到security_result.action_details。 - 将
SECONDARYACTION、ACTUALACTION、VIRUSNAME和NOOFVIRUSES映射到security_result.detection_fields。 - 将
SOURCE映射到additional.fields。 - 将
HPP_APP_HASH映射到target.file.sha256。 - 将
HPP_APP_NAME映射到target.file.names。 - 将
FILEPATH映射到target.file.full_path。 - 将
CLIENT_GROUP映射到target.user.group_identifiers。
2024-06-07
增强功能:
- 添加了对 KV 格式日志的支持。
2024-05-27
增强功能:
- 将
target_file_name从target.file.full_path映射到了target.file.names。
2023-11-28
bug 修复:
- 如果存在
event_time,则与datetime映射相同。
2023-11-08
bug 修复:
- 移除了
ServerName到target.asset.hostname的映射,并将其映射到intermediary.hostname。 - 当
Actualaction为Cleaned时,将security_result.action映射到BLOCK,将is_significant映射到false。 - 添加了 Grok 模式,以使用不同的模式解析未解析的日志。
- 将
type、utility-sub-type、lang、service-sandbox-type、mojo-platform-channel-handle、field-trial-handle、disable-features映射到security_result.detection_fields。 - 将
target_arguments映射到read_only_udm.additional.fields。 - 将
user-data-dir映射到sec_result.about.file.full_path。 - 将
security-realm映射到security_result.summary。 - 将
startup-url映射到principal.url。 - 将
source_ip映射到target.ip。 - 将
action_word映射到security_result.action_details。
2023-10-12
bug 修复:
- 添加了 Grok 模式,以使用不同的模式解析未解析的日志。
2023-04-21
bug 修复:
- 更改了包含文件中的中间变量名称。
File相关事件的映射security_result.rule_name。
2023-04-10
增强功能:
- 处理了日志类型为
File Read、File Write、File Delete或Registry Write的已丢弃日志。 - 将
payload.domain_name映射到principal.administrative_domain。 - 为
payload.device_id和event_description添加了 null 检查。
2023-01-21
增强功能:
- 添加了针对
targetComputerName、event_description1的条件检查。 - 为
file_full_path、GroupName、ServerName添加了 on_error 检查。 - 将
Applicationtype映射到principal.resource.attribute.labels。 - 将
mail映射到target.user.email_addresses。 - 将
server_name_1映射到principal.hostname。 - 对于日志类型
SEC: - 将
computer映射到principal.hostname。 - 将
syslogServer映射到intermediary.hostname。 - 将
event_description映射到metadata.description。 - 为日志类型
SONAR、CVE、SEC添加了for loop。
2022-11-24
增强功能:
- 添加了 Grok 模式,用于解析包含
SONAR detection now allowed的日志。
2022-11-15
增强功能:
- 添加了 Grok 模式,用于解析类型为
Virus Found和SONAR Scan的失败日志。 - 添加了针对
Categorytype的条件检查。
2022-10-25
增强功能:
- 将
EventDescription映射到metadata.description。 - 将
LocalHostIP、IPAddress、source_ip映射到principal.ip。 - 将
LocalHostMAC映射到principal.mac。 - 将
computer映射到principal.hostname - 将
guid映射到principal.asset.asset_id。 - 将
DeviceID映射到principal.resource.product_object_id。 - 将
Filesize映射到target.file.size。 - 将
SHA256映射到target.file.sha256。 - 将
User1映射到principal.user.userid。 - 将
file_path映射到target.file.full_path。 - 将
GroupName映射到principal.group.group_display_name。 - 将
action_word映射到security_result.action_details。 - 将
Begin映射到vulnerabilities.scan_start_time。 - 将
EndTime映射到vulnerabilities.scan_end_time。 - 将
ScanID映射到principal.process.product_specific_process_id。 - 将
inter_host映射到intermediary.hostname。 - 将
inter_ip映射到intermediary.ip。 - 将
ActionType映射到additional.fields。 - 将
Rule映射到security_result.rule_name。
2022-10-10
增强功能:
- 将
category映射到security_result.category_details。 - 将
CIDS Signature ID映射到target.resource.attribute.labels。 - 将
CIDS Signature SubID映射到target.resource.attribute.labels。 - 将
CIDS Signature string映射到target.resource.attribute.labels。 - 将
Intrusion URL映射到principal.url。 - 将
User Name映射到principal.user.userid。 - 将
Actual action映射到security_result.action_details。 - 将
Application hash映射到target.file.sha256。 - 将
Application name映射到target.application。 - 将
Application type映射到target.resource.attribute.labels。 - 将
Certificate issuer映射到network.tls.server.certificate.issuer。 - 将
Certificate serial number映射到network.tls.server.certificate.serial。 - 将
Certificate signer映射到network.tls.server.certificate.subject。 - 将
Certificate thumbprint映射到network.tls.server.certificate.sha256。 - 将
Secondary action映射到target.resource.attribute.labels。 - 将
First Seen映射到security_result.detection_fields。 - 将
Risk Name映射到security_result.detection_fields。 - 将
Risk Type映射到security_result.detection_fields。 - 将
Permitted application reason映射到security_result.detection_fields。 - 将
Company name映射到target.user.company_name。 - 将
Computer name映射到principal.hostname。 - 将
Server Name映射到principal.asset.network_domain。 - 将
Confidence映射到security_result.description。 - 将
Detection Type映射到security_result.summary。 - 将
Group Name映射到principal.group.group_display_name。 - 将
Risk Level映射到security_result.severity_details。 - 将
File size (bytes)映射到target.file.size。
2022-09-21
增强功能:
- 将自定义解析器迁移到了默认解析器。
2022-08-12
增强功能:
- 修改了 Grok 模式以解析日志。
- 处理了丢弃的日志,并将其映射到有效的 event_type。
- 被丢弃的日志具有以下 logType,现在已得到处理:
REP、SubmissionsMan、SYLINK、IPS、SONAR、SEC、CVE、LiveUpdate Manager; Messages related to definition updates、Antivirus detection submission。 - 系统会处理包含
Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System的新条件msg1。 - 包含
client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully的 event_description。 - 添加了新的代码块来处理 logType REP、SONAR、CVE、GUP、Smc、WSS 并对其进行解析。
- 尽可能将事件类型从
GENERIC_EVENT更改为STATUS_UPDATE、USER_UNCATEGORIZED、NETWORK_CONNECTION、STATUS_UNCATEGORIZED。 - 将
eventDescription映射到metadata.description。 - 将
hostName映射到principal.hostname。 - 将
machineDomainName映射到principal.administrative_domain。 - 将
domainName映射到target.administrative_domain。 - 将
serverName映射到intermediary.hostname。 - 将
userName映射到principal.user.userid。 - 将
siteName映射到read_only_udm.additional.fields。
2022-07-26
增强功能:
- 对于将 messageTmp 作为网站的日志,映射了以下字段:
- 将
eventDescription映射到metadata.description。 - 将
hostName映射到target.hostname。 - 将
machineDomainName映射到target.administrative_domain。 - 将
domainName映射到principal.administrative_domain。 - 将
serverName映射到principal.hostname。 - 将
userName映射到principal.user.userid。 - 将
siteName映射到read_only_udm.additional.fields。
2022-05-11
增强功能:
- 已解析的事件时间戳日志条目,格式为
yyyy-MM-dd HH:mm:ss。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。