本頁面由 Cloud Translation API 翻譯而成。

收集 Fortinet FortiAnalyzer 記錄

支援以下發布途徑：

Google secops Siem

本文說明如何使用 Bindplane 收集 Fortinet FortiAnalyzer 記錄，並將這些記錄匯入 Google 安全作業。剖析器會將記錄轉換為 UDM 格式。這項服務會處理 CEF 和鍵/值格式訊息、擷取欄位、執行資料轉換作業 (例如轉換時間戳記和強化 IP 通訊協定)，並根據事件類型和子類型將這些項目對應至適當的 UDM 欄位。剖析器也包含處理網路連線、DNS 查詢、HTTP 要求和各種安全性事件的特定邏輯，藉此透過應用程式通訊協定、使用者資訊和安全性結果等詳細資料，豐富 UDM。

事前準備

確認您有 Google Security Operations 執行個體。
請確認您使用的是 Windows 2016 或更新版本，或是支援 systemd 的 Linux 主機。
如果在 Proxy 後方執行，請確認防火牆通訊埠已開啟。
確認您具備 Fortinet FortiAnalyzer 的特殊存取權。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。請在將要安裝 Bindplane 的系統上，安全地儲存檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟命令提示字元或 PowerShell。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有 root 或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，以便擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: FORTINET_FORTIANALYZER
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
在「取得 Google SecOps 攝入驗證檔案」部分，將 /path/to/ingestion-authentication-file.json 更新為驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，您可以使用「Services」主控台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Fortinet FortiAnalyzer 上設定 Syslog

登入 FortiAnalyzer。
啟用 CLI 模式。

執行下列指令：

config system syslog
  edit NAME
    set ip IP_ADDRESS
    set port PORT
    set reliable enable or disable
  next
end

更新下列欄位：
- NAME：Syslog 伺服器名稱。
- IP_ADDRESS：輸入 Bindplane 代理程式的 IPv4 位址。
- PORT：輸入 Bindplane 代理程式的通訊埠號碼，例如 514。
- enable or disable：如果您將可靠值設為啟用，系統會以 TCP 傳送；如果您將可靠值設為停用，系統會以 UDP 傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`act`	`security_result.action_details`	記錄為 CEF 格式時，`act` 欄位的值。
`action`	`security_result.action_details`	當記錄不是 CEF 格式時，從 `action` 欄位取得的值。用於衍生 `security_result.action` 和 `security_result.description`。
`action`	`security_result.action`	衍生。如果 `action` 是 `accept`、`passthrough`、`pass`、`permit`、`detected` 或 `login`，則為 `ALLOW`。如果是 `deny`、`dropped`、`blocked` 或 `close`，則為 `BLOCK`。如果值為 `timeout`，則為 `FAIL`。否則，請使用 `UNKNOWN_ACTION`。
`action`	`security_result.description`	衍生。設為 `Action:` + 衍生 `security_result.action`。
`ad.app`	`target.application`	記錄為 CEF 格式時，`ad.app` 欄位的值。如果值為 `HTTPS`、`HTTP`、`DNS`、`DHCP` 或 `SMB`，則會對應至 `network.application_protocol`。
`ad.appact`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.appact` 欄位新增的值，以鍵/值組合形式新增，鍵為 `appact`。
`ad.appcat`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.appcat` 欄位新增的值，以鍵/值組合形式新增，鍵為 `appcat`。
`ad.appid`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.appid` 欄位新增的值，以鍵/值組合形式新增，鍵為 `appid`。
`ad.applist`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.applist` 欄位新增的值，以鍵/值組合形式新增，鍵為 `applist`。
`ad.apprisk`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.apprisk` 欄位新增的值，以鍵/值組合形式新增，鍵為 `apprisk`。
`ad.cipher_suite`	`network.tls.cipher`	記錄為 CEF 格式時，`ad.cipher_suite` 欄位的值。
`ad.countapp`	(未對應)	未對應至 IDM 物件。
`ad.countweb`	(未對應)	未對應至 IDM 物件。
`ad.dstcity`	`target.location.city`	記錄為 CEF 格式時，`ad.dstcity` 欄位的值。
`ad.dstcountry`	`target.location.country_or_region`	記錄為 CEF 格式時，`ad.dstcountry` 欄位的值。
`ad.dstintf`	`security_result.detection_fields`	記錄檔為 CEF 格式時，從 `ad.dstintf` 欄位新增的值，以鍵/值組合形式新增，鍵為 `dstintf`。
`ad.dstintfrole`	`security_result.detection_fields`	記錄檔為 CEF 格式時，從 `ad.dstintfrole` 欄位新增的值，以鍵/值組合形式新增，鍵為 `dstintfrole`。
`ad.dstregion`	`target.location.state`	記錄為 CEF 格式時，`ad.dstregion` 欄位的值。
`ad.duration`	`network.session_duration.seconds`	記錄為 CEF 格式時，`ad.duration` 欄位的值。
`ad.eventtime`	`metadata.event_timestamp`	記錄為 CEF 格式時，`ad.eventtime` 欄位的值。
`ad.http_agent`	`network.http.parsed_user_agent`	記錄為 CEF 格式時，`ad.http_agent` 欄位的值。
`ad.http_method`	`network.http.method`	記錄為 CEF 格式時，`ad.http_method` 欄位的值。
`ad.http_refer`	`network.http.referral_url`	記錄為 CEF 格式時，`ad.http_refer` 欄位的值。
`ad.http_request_bytes`	`network.sent_bytes`	記錄為 CEF 格式時，`ad.http_request_bytes` 欄位的值。
`ad.http_response_bytes`	`network.received_bytes`	記錄為 CEF 格式時，`ad.http_response_bytes` 欄位的值。
`ad.http_retcode`	(未對應)	未對應至 IDM 物件。
`ad.http_url`	(未對應)	未對應至 IDM 物件。
`ad.lanin`	(未對應)	未對應至 IDM 物件。
`ad.lanout`	(未對應)	未對應至 IDM 物件。
`ad.logid`	`metadata.product_log_id`	記錄為 CEF 格式時，`ad.logid` 欄位的值。
`ad.mastersrcmac`	`principal.mac`	記錄為 CEF 格式時，`ad.mastersrcmac` 欄位的值。
`ad.original_src`	(未對應)	未對應至 IDM 物件。
`ad.original_srccountry`	(未對應)	未對應至 IDM 物件。
`ad.poluuid`	(未對應)	未對應至 IDM 物件。
`ad.policyid`	`security_result.rule_id`	記錄為 CEF 格式時，`ad.policyid` 欄位的值。
`ad.policyname`	`security_result.rule_name`	記錄為 CEF 格式時，`ad.policyname` 欄位的值。
`ad.policytype`	`security_result.rule_type`	記錄為 CEF 格式時，`ad.policytype` 欄位的值。
`ad.profile`	`target.resource.name`	記錄為 CEF 格式時，`ad.profile` 欄位的值。也會將 `target.resource.resource_type` 設為 `ACCESS_POLICY`。
`ad.proto`	`network.ip_protocol`	記錄為 CEF 格式時，`ad.proto` 欄位的值。使用 `parse_ip_protocol.include` 檔案剖析。
`ad.qclass`	`network.dns.questions.class`	記錄為 CEF 格式時，`ad.qclass` 欄位的值。使用 `dns_query_class_mapping.include` 檔案進行對應。
`ad.qname`	`network.dns.questions.name`	記錄為 CEF 格式時，`ad.qname` 欄位的值。
`ad.qtype`	(未對應)	未對應至 IDM 物件。
`ad.qtypeval`	`network.dns.questions.type`	記錄為 CEF 格式時，`ad.qtypeval` 欄位的值。
`ad.rcvddelta`	(未對應)	未對應至 IDM 物件。
`ad.rcvdpkt`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.rcvdpkt` 欄位新增的值，以鍵/值組合形式新增，鍵為 `receivedPackets`。
`ad.sentdelta`	(未對應)	未對應至 IDM 物件。
`ad.sentpkt`	`additional.fields`	記錄檔為 CEF 格式時，從 `ad.sentpkt` 欄位新增的值，以鍵/值組合形式新增，鍵為 `sentPackets`。
`ad.server_pool_name`	(未對應)	未對應至 IDM 物件。
`ad.sourceTranslatedAddress`	`principal.nat_ip`	記錄為 CEF 格式時，`ad.sourceTranslatedAddress` 欄位的值。
`ad.sourceTranslatedPort`	`principal.nat_port`	記錄為 CEF 格式時，`ad.sourceTranslatedPort` 欄位的值。
`ad.src`	`principal.ip`	記錄為 CEF 格式時，`ad.src` 欄位的值。
`ad.srccountry`	`principal.location.country_or_region`	記錄為 CEF 格式時，`ad.srccountry` 欄位的值。
`ad.srcintf`	`security_result.detection_fields`	記錄檔為 CEF 格式時，從 `ad.srcintf` 欄位新增的值，以鍵/值組合形式新增，鍵為 `srcintf`。
`ad.srcintfrole`	`security_result.detection_fields`	記錄檔為 CEF 格式時，從 `ad.srcintfrole` 欄位新增的值，以鍵/值組合形式新增，鍵為 `srcintfrole`。
`ad.srcmac`	`principal.mac`	記錄為 CEF 格式時，`ad.srcmac` 欄位的值。
`ad.srcserver`	(未對應)	未對應至 IDM 物件。
`ad.spt`	`principal.port`	記錄為 CEF 格式時，`ad.spt` 欄位的值。
`ad.status`	`security_result.summary`	記錄為 CEF 格式時，`ad.status` 欄位的值。
`ad.subtype`	`metadata.product_event_type`	當記錄檔為 CEF 格式時，可與 `ad.logid` 搭配使用來建立 `metadata.product_event_type`。也可用來擷取 `metadata.event_type`，並對應 DNS 和 HTTP 事件的特定欄位。
`ad.trandisp`	(未對應)	未對應至 IDM 物件。
`ad.tz`	(未對應)	未對應至 IDM 物件。
`ad.utmaction`	`security_result.action`	記錄為 CEF 格式時，`ad.utmaction` 欄位的值。用於衍生 `security_result.action` 和 `security_result.description`。
`ad.user_name`	(未對應)	未對應至 IDM 物件。
`ad.vd`	`principal.administrative_domain`	記錄為 CEF 格式時，`ad.vd` 欄位的值。
`ad.vwlid`	(未對應)	未對應至 IDM 物件。
`ad.wanin`	(未對應)	未對應至 IDM 物件。
`ad.wanout`	(未對應)	未對應至 IDM 物件。
`ad.xid`	(未對應)	未對應至 IDM 物件。
`ad.x509_cert_subject`	(未對應)	未對應至 IDM 物件。
`agent`	(未對應)	未對應至 IDM 物件。
`appid`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `appid` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `appid`。
`app`	`target.application`	當記錄不是 CEF 格式時，來自 `app` 欄位的值。如果值為 `HTTPS`、`HTTP`、`DNS`、`DHCP` 或 `SMB`，則會對應至 `network.application_protocol`。
`appact`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `appact` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `appact`。
`appcat`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `appcat` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `appcat`。
`applist`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `applist` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `applist`。
`apprisk`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `apprisk` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `apprisk`。
`cat`	`security_result1.rule_id`	當記錄不是 CEF 格式時，從 `cat` 欄位取得的值。
`catdesc`	`security_result.description`	當記錄不是 CEF 格式時，來自 `catdesc` 欄位的值。只有在 `catdesc` 非空白時才會使用。
`centralnatid`	(未對應)	未對應至 IDM 物件。
`cipher_suite`	`network.tls.cipher`	當記錄不是 CEF 格式時，從 `cipher_suite` 欄位取得的值。
`countssl`	(未對應)	未對應至 IDM 物件。
`crlevel`	`security_result.severity`	當記錄不是 CEF 格式時，來自 `crlevel` 欄位的值。用於導出 `security_result.severity`。如果為 `CRITICAL`，則將 `is_alert` 和 `is_significant` 設為 true。
`craction`	`security_result.about.labels`	當記錄檔不是 CEF 格式時，從 `craction` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `craction`。
`create_time`	(未對應)	未對應至 IDM 物件。
`data`	(未對應)	原始記錄資料。未直接對應至 UDM。
`date`	(未對應)	未對應至 IDM 物件。
`devname`	`principal.hostname`、`principal.asset.hostname`	當記錄不是 CEF 格式時，從 `devname` 欄位取得的值。
`devid`	(未對應)	未對應至 IDM 物件。
`devtype`	(未對應)	未對應至 IDM 物件。
`direction`	`network.direction`	當記錄不是 CEF 格式時，來自 `direction` 欄位的值。如果是 `incoming` 或 `inbound`，則為 `INBOUND`。如果是 `outgoing` 或 `outbound`，則為 `OUTBOUND`。
`dpt`	`target.port`	記錄為 CEF 格式時，`dpt` 欄位的值。
`dstip`	`target.ip`、`target.asset.ip`	當記錄不是 CEF 格式時，從 `dstip` 欄位取得的值。
`dstintf`	`security_result.detection_fields`	當記錄檔不是 CEF 格式時，從 `dstintf` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `dstintf`。
`dstintfrole`	`security_result.detection_fields`	當記錄檔不是 CEF 格式時，從 `dstintfrole` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `dstintfrole`。
`dstport`	`target.port`	當記錄不是 CEF 格式時，從 `dstport` 欄位取得的值。
`dstregion`	`target.location.state`	當記錄不是 CEF 格式時，從 `dstregion` 欄位取得的值。
`dstuuid`	`target.user.product_object_id`	當記錄不是 CEF 格式時，從 `dstuuid` 欄位取得的值。
`duration`	`network.session_duration.seconds`	當記錄不是 CEF 格式時，從 `duration` 欄位取得的值。
`dstcity`	`target.location.city`	當記錄不是 CEF 格式時，從 `dstcity` 欄位取得的值。
`dstcountry`	`target.location.country_or_region`	當記錄不是 CEF 格式時，從 `dstcountry` 欄位取得的值。
`dstmac`	`target.mac`	當記錄不是 CEF 格式時，從 `dstmac` 欄位取得的值。
`eventtime`	`metadata.event_timestamp`	當記錄不是 CEF 格式時，來自 `eventtime` 欄位的值。這個值會從微秒縮減為秒。
`eventtype`	`security_result2.rule_type`	當記錄不是 CEF 格式時，從 `eventtype` 欄位取得的值。
`externalID`	(未對應)	未對應至 IDM 物件。
`group`	`principal.user.group_identifiers`	當記錄不是 CEF 格式時，從 `group` 欄位取得的值。
`hostname`	`target.hostname`、`target.asset.hostname`	當記錄不是 CEF 格式時，從 `hostname` 欄位取得的值。
`http_agent`	`network.http.parsed_user_agent`	當記錄不是 CEF 格式時，來自 `http_agent` 欄位的值。已轉換為剖析的使用者代理程式物件。
`http_method`	`network.http.method`	當記錄不是 CEF 格式時，從 `http_method` 欄位取得的值。
`http_refer`	`network.http.referral_url`	當記錄不是 CEF 格式時，從 `http_refer` 欄位取得的值。
`http_request_bytes`	`network.sent_bytes`	當記錄不是 CEF 格式時，從 `http_request_bytes` 欄位取得的值。
`http_response_bytes`	`network.received_bytes`	當記錄不是 CEF 格式時，從 `http_response_bytes` 欄位取得的值。
`httpmethod`	`network.http.method`	當記錄不是 CEF 格式時，從 `httpmethod` 欄位取得的值。
`in`	`network.received_bytes`	記錄為 CEF 格式時，`in` 欄位的值。
`incidentserialno`	(未對應)	未對應至 IDM 物件。
`lanin`	(未對應)	未對應至 IDM 物件。
`lanout`	(未對應)	未對應至 IDM 物件。
`level`	`security_result.severity`、`security_result.severity_details`	當記錄不是 CEF 格式時，來自 `level` 欄位的值。用於導出 `security_result.severity`。如果是 `error` 或 `warning`，則為 `HIGH`。如果值為 `notice`，則為 `MEDIUM`。如果是 `information` 或 `info`，則為 `LOW`。並將 `security_result.severity_details` 設為 `level:` + `level`。如果 `crlevel` 為 `CRITICAL` 或 `level` 為 `alert`，則將 `is_alert` 和 `is_significant` 設為 true。
`locip`	`principal.ip`、`principal.asset.ip`	當記錄不是 CEF 格式時，從 `locip` 欄位取得的值。
`logdesc`	`metadata.description`	當記錄不是 CEF 格式時，從 `logdesc` 欄位取得的值。
`logid`	`metadata.product_log_id`	當記錄不是 CEF 格式時，從 `logid` 欄位取得的值。
`logver`	(未對應)	未對應至 IDM 物件。
`mastersrcmac`	`principal.mac`	當記錄不是 CEF 格式時，從 `mastersrcmac` 欄位取得的值。
`method`	(未對應)	未對應至 IDM 物件。
`msg`	`metadata.description`	當記錄不是 CEF 格式時，從 `msg` 欄位取得的值。如果 `catdesc` 為空白，也適用於 `security_result.description`。
`out`	`network.sent_bytes`	記錄為 CEF 格式時，`out` 欄位的值。
`outintf`	(未對應)	未對應至 IDM 物件。
`policyid`	`security_result.rule_id`	當記錄不是 CEF 格式時，從 `policyid` 欄位取得的值。
`policyname`	`security_result.rule_name`	當記錄不是 CEF 格式時，從 `policyname` 欄位取得的值。
`policytype`	`security_result.rule_type`	當記錄不是 CEF 格式時，從 `policytype` 欄位取得的值。
`poluuid`	(未對應)	未對應至 IDM 物件。
`profile`	`target.resource.name`	當記錄不是 CEF 格式時，來自 `profile` 欄位的值。也會將 `target.resource.resource_type` 設為 `ACCESS_POLICY`。
`proto`	`network.ip_protocol`	當記錄不是 CEF 格式時，來自 `proto` 欄位的值。使用 `parse_ip_protocol.include` 檔案剖析。
`qclass`	`network.dns.questions.class`	當記錄不是 CEF 格式時，來自 `qclass` 欄位的值。使用 `dns_query_class_mapping.include` 檔案進行對應。
`qname`	`network.dns.questions.name`	當記錄不是 CEF 格式時，從 `qname` 欄位取得的值。
`reason`	`security_result.description`	當記錄不是 CEF 格式時，來自 `reason` 欄位的值。只有在 `reason` 不是 `N/A` 且不為空白時才會使用。
`rcvdbyte`	`network.received_bytes`	當記錄不是 CEF 格式時，從 `rcvdbyte` 欄位取得的值。
`rcvdpkt`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `rcvdpkt` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `receivedPackets`。
`remip`	`target.ip`、`target.asset.ip`	當記錄不是 CEF 格式時，從 `remip` 欄位取得的值。
`remport`	(未對應)	未對應至 IDM 物件。
`reqtype`	(未對應)	未對應至 IDM 物件。
`sentbyte`	`network.sent_bytes`	當記錄不是 CEF 格式時，從 `sentbyte` 欄位取得的值。
`sentpkt`	`additional.fields`	當記錄檔不是 CEF 格式時，從 `sentpkt` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `sentPackets`。
`service`	`network.application_protocol`、`target.application`	當記錄不是 CEF 格式時，來自 `service` 欄位的值。使用 `parse_app_protocol.include` 檔案剖析。如果剖析器的輸出內容不為空白，則會對應至 `network.application_protocol`。否則，原始值會對應至 `target.application`。
`sessionid`	`network.session_id`	當記錄不是 CEF 格式時，從 `sessionid` 欄位取得的值。
`sn`	(未對應)	未對應至 IDM 物件。
`sourceTranslatedAddress`	`principal.nat_ip`	記錄為 CEF 格式時，`sourceTranslatedAddress` 欄位的值。
`sourceTranslatedPort`	`principal.nat_port`	記錄為 CEF 格式時，`sourceTranslatedPort` 欄位的值。
`spt`	`principal.port`	記錄為 CEF 格式時，`spt` 欄位的值。
`src`	`principal.ip`	記錄為 CEF 格式時，`src` 欄位的值。
`srcip`	`principal.ip`、`principal.asset.ip`	當記錄不是 CEF 格式時，從 `srcip` 欄位取得的值。
`srcintf`	`security_result.detection_fields`	當記錄檔不是 CEF 格式時，從 `srcintf` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `srcintf`。
`srcintfrole`	`security_result.detection_fields`	當記錄檔不是 CEF 格式時，從 `srcintfrole` 欄位新增的值，以鍵/值組合形式新增，其中鍵為 `srcintfrole`。
`srcmac`	`principal.mac`	當記錄不是 CEF 格式時，從 `srcmac` 欄位取得的值。連字號會替換成冒號。
`srcport`	`principal.port`	當記錄不是 CEF 格式時，從 `srcport` 欄位取得的值。
`srccountry`	`principal.location.country_or_region`	當記錄不是 CEF 格式時，來自 `srccountry` 欄位的值。只有在非 `Reserved` 且非空白時才會對應。
`srcuuid`	`principal.user.product_object_id`	當記錄不是 CEF 格式時，從 `srcuuid` 欄位取得的值。
`srcserver`	(未對應)	未對應至 IDM 物件。
`start`	(未對應)	未對應至 IDM 物件。
`status`	`security_result.summary`	當記錄不是 CEF 格式時，從 `status` 欄位取得的值。
`subtype`	`metadata.product_event_type`	當記錄檔不是 CEF 格式時，可搭配 `type` 使用此方法建立 `metadata.product_event_type`。也可用來擷取 `metadata.event_type`，並對應 DNS 和 HTTP 事件的特定欄位。
`time`	(未對應)	未對應至 IDM 物件。
`timestamp`	`metadata.event_timestamp`	`timestamp` 欄位的值。
`trandisp`	(未對應)	未對應至 IDM 物件。
`transip`	(未對應)	未對應至 IDM 物件。
`transport`	(未對應)	未對應至 IDM 物件。
`type`	`metadata.product_event_type`	當記錄檔不是 CEF 格式時，可搭配 `subtype` 使用此方法建立 `metadata.product_event_type`。也可用來導出 `metadata.event_type`。
`tz`	(未對應)	未對應至 IDM 物件。
`ui`	(未對應)	未對應至 IDM 物件。
`url`	`target.url`	當記錄不是 CEF 格式時，從 `url` 欄位取得的值。
`user`	`principal.user.userid`	當記錄不是 CEF 格式時，來自 `user` 欄位的值。只有在非 `N/A` 且非空白時才會對應。
`utmaction`	`security_result.action`、`security_result2.action_details`	當記錄不是 CEF 格式時，來自 `utmaction` 欄位的值。用於衍生 `security_result.action` 和 `security_result.description`。
`utmaction`	`security_result.action`	衍生。如果 `utmaction` 是 `accept`、`allow`、`passthrough`、`pass`、`permit` 或 `detected`，則為 `ALLOW`。如果是 `deny`、`dropped`、`blocked` 或 `block`，則為 `BLOCK`。否則，請使用 `UNKNOWN_ACTION`。
`utmaction`	`security_result.description`	衍生。如果 `action1` 為空白，請將其設為 `UTMAction:` + 衍生 `security_result.action`。
`utmevent`	(未對應)	未對應至 IDM 物件。
`vd`	`principal.administrative_domain`	當記錄不是 CEF 格式時，從 `vd` 欄位取得的值。
`vpntunnel`	(未對應)	未對應至 IDM 物件。
`wanin`	(未對應)	未對應至 IDM 物件。
`wanout`	(未對應)	未對應至 IDM 物件。
不適用 (剖析器邏輯)	`about.asset.asset_id`	衍生。如果記錄檔為 CEF 格式，請將此值設為 `Fortinet.` + `product_name` + `:` + `deviceExternalId`。
不適用 (剖析器邏輯)	`about.hostname`	衍生。記錄為 CEF 格式時，請將其設為 `auth0`。
不適用 (剖析器邏輯)	`extensions.auth`	衍生。`metadata.event_type` 為 `USER_LOGIN` 時，系統會建立空物件。
不適用 (剖析器邏輯)	`extensions.auth.type`	衍生。當 `metadata.event_type` 為 `USER_LOGIN` 時，請設為 `AUTHTYPE_UNSPECIFIED`。
不適用 (剖析器邏輯)	`is_alert`、`is_significant`	衍生。如果 `crlevel` 為 `CRITICAL` 或 `level` 為 `alert`，請將其設為 true。
不適用 (剖析器邏輯)	`metadata.event_type`	根據剖析器中的各種記錄欄位和邏輯衍生而來。可以是 `NETWORK_CONNECTION`、`STATUS_UPDATE`、`GENERIC_EVENT`、`NETWORK_DNS`、`NETWORK_HTTP`、`USER_LOGIN`、`USER_LOGOUT` 或 `NETWORK_UNCATEGORIZED`。
不適用 (剖析器邏輯)	`metadata.log_type`	衍生。設為 `FORTINET_FORTIANALYZER`。
不適用 (剖析器邏輯)	`metadata.product_event_type`	衍生。設為 `type` + `-` + `subtype`。
不適用 (剖析器邏輯)	`metadata.product_name`	衍生。設為 `Fortianalyzer` 或從 CEF 訊息中擷取。
不適用 (剖析器邏輯)	`metadata.product_version`	從 CEF 訊息中擷取。
不適用 (剖析器邏輯)	`metadata.vendor_name`	衍生。設為 `Fortinet`。
不適用 (剖析器邏輯)	`network.application_protocol`	使用 `parse_app_protocol.include` 檔案從 `service` 或 `app` 欄位衍生而來，或針對 DNS 事件設為 `DNS`。如果 `ad.app` 為 `HTTPS`、`HTTP`、`DNS`、`DHCP` 或 `SMB` 之一，請一併依據 `ad.app` 進行設定。
不適用 (剖析器邏輯)	`network.dns.questions`	衍生。包含 DNS 事件填入的 `name`、`type` 和 `class` 欄位的 question 物件陣列。
不適用 (剖析器邏輯)	`network.http.parsed_user_agent`	透過將 `http_agent` 欄位轉換為剖析的使用者代理程式物件而衍生。
不適用 (剖析器邏輯)	`network.ip_protocol`	使用 `parse_ip_protocol.include` 檔案衍生自 `proto` 欄位。
不適用 (剖析器邏輯)	`principal.administrative_domain`	`vd` 欄位的值。
不適用 (剖析器邏輯)	`principal.asset.ip`	從 `principal.ip` 複製的項目。
不適用 (剖析器邏輯)	`principal.asset.hostname`	從 `principal.hostname` 複製的項目。
不適用 (剖析器邏輯)	`security_result.about.labels`	鍵/值組合的陣列，如果有 `craction`，則會填入該值。
不適用 (剖析器邏輯)	`security_result.action`	衍生自 `action` 或 `utmaction`。
不適用 (剖析器邏輯)	`security_result.description`	取自 `action`、`utmaction`、`msg`、`catdesc` 或 `reason`，具體取決於可用的欄位和記錄格式。
不適用 (剖析器邏輯)	`security_result.severity`	衍生自 `crlevel` 或 `level`。
不適用 (剖析器邏輯)	`security_result.severity_details`	衍生。設為 `level:` + `level`。
不適用 (剖析器邏輯)	`security_result.detection_fields`	鍵/值組合的陣列，如果有 `srcintf`、`srcintfrole`、`dstintf` 和 `dstintfrole`，則會填入這些值。
不適用 (剖析器邏輯)	`target.asset.ip`	從 `target.ip` 複製的項目。
不適用 (剖析器邏輯)	`target.asset.hostname`	從 `target.hostname` 複製的項目。
不適用 (剖析器邏輯)	`target.resource.resource_type`	衍生。如果有 `profile` 欄位，請將其設為 `ACCESS_POLICY`。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。