Agiloft-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Agiloft-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

Agiloft ist eine No-Code-Plattform für das Vertragslebenszyklusmanagement (Contract Lifecycle Management, CLM), mit der die Vertragserstellung, Genehmigungsworkflows und die Compliance-Überwachung automatisiert werden. In der Tabelle „Agiloft Activity Log“ werden Systemnutzungsereignisse wie Nutzeranmeldungen, ‑abmeldungen, Änderungen an Datensätzen, Regeländerungen und administrative Aktionen aufgezeichnet. Diese Aktivitätsprotokolle können über die Agiloft REST API exportiert und in einen GCS-Bucket geschrieben werden, damit sie von Google SecOps aufgenommen werden können.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Eine Agiloft-Instanz mit der Advanced-, Premium- oder Platform-Edition (für den REST API-Zugriff ist eine dieser Editionen erforderlich)
  • Ein Agiloft-Nutzerkonto in einer REST-fähigen Gruppe mit Zugriff auf die Tabelle „Activity Log“ (Aktivitätsprotokoll)
  • Aktivitäts-Logging in der Agiloft-Wissensdatenbank aktiviert

Agiloft-Aktivitäts-Logging konfigurieren

  1. Melden Sie sich mit einem Administratorkonto in der Agiloft-Wissensdatenbank an.
  2. Klicken Sie rechts oben auf das Zahnradsymbol für Einrichtung.
  3. Gehen Sie zu System > Aktivitätsprotokoll konfigurieren.
  4. Klicken Sie auf Neu, um den Assistenten Audit-Regeln zu öffnen.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Name: Geben Sie einen Namen für die Regel ein, z. B. All Activity for SIEM.
    • Sprache: Wählen Sie die Sprache Ihrer Wissensdatenbank aus.
  6. Erstellen oder wählen Sie eine gespeicherte Suche aus, mit der festgelegt wird, welche Nutzeraktionen protokolliert werden.
  7. Wählen Sie die Ereignisse aus, die erfasst werden sollen. Für eine umfassende Sicherheitsüberwachung wählen Sie Folgendes aus:
    • Anmeldung
    • Abmelden
    • Fehler bei der Anmeldung
    • Datensatz erstellen
    • Aufnahme bearbeiten
    • Aufnahme löschen
    • Dateidownload
    • Regel bearbeiten
    • Workflow bearbeiten
    • Gruppenbearbeitung
    • Team bearbeiten
    • Tabellen bearbeiten
    • Spalten bearbeiten
  8. Legen Sie die Aufbewahrungsdauer für die Audit-Einträge fest, z. B. 1 year.

  9. Klicken Sie auf Beenden.

Tabelle „Aktivitätsprotokoll“ einblenden

  1. Rufen Sie in der Agiloft-Wissensdatenbank Einrichtung > Tabellen auf.
  2. Wählen Sie in der Tabellenliste Aktivitätsprotokoll aus.

  3. Klicken Sie auf Einblenden, um die Tabelle „Aktivitätslog“ für API-Abfragen zugänglich zu machen.

Agiloft-API-Anmeldedaten erfassen

Agiloft-Instanzdetails abrufen

  1. Melden Sie sich in Ihrer Agiloft-Instanz an.

  2. Beachten Sie die folgenden Werte aus der Adressleiste des Browsers:

    • Hostname: Die Serveradresse, z. B. yourcompany.agiloft.com
    • KB Name (Name der Wissensdatenbank): Der Name der Wissensdatenbank, der oben rechts neben dem Hilfesymbol angezeigt wird (z. B. Production)

Einen dedizierten API-Nutzer erstellen

  1. Rufen Sie in der Agiloft-Wissensdatenbank Einrichtung > Zugriff > Personen auf.
  2. Erstellen Sie ein neues Nutzerkonto für den API-Zugriff:
    • Anmeldung: Geben Sie eine aussagekräftige Anmeldung ein, z. B. siem_api_user.
    • Passwort: Ein starkes Passwort festlegen

  3. Fügen Sie den Nutzer einer Gruppe hinzu, für die der REST API-Zugriff und der Lesezugriff auf die Tabelle Aktivitätsprotokoll aktiviert sind.

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

  1. Melden Sie sich mit den API-Nutzeranmeldedaten bei Agiloft an.
  2. Rufen Sie Einrichtung > Tabellen auf.
  3. Prüfen Sie, ob die Tabelle Activity Log (Aktivitätsprotokoll) sichtbar und zugänglich ist.
  4. Wenn Sie die Tabelle „Aktivitätsprotokoll“ nicht sehen, wenden Sie sich an Ihren Agiloft-Administrator, um die erforderlichen Gruppenberechtigungen zu erhalten.

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    AGILOFT_HOST="https://yourcompany.agiloft.com"
AGILOFT_KB="YourKBName"
AGILOFT_LOGIN="siem_api_user"
AGILOFT_PASSWORD="your-password"

# Test login and get JWT token
TOKEN=$(curl -s "${AGILOFT_HOST}/ewws/EWLogin?$KB=${AGILOFT_KB}&\$login=${AGILOFT_LOGIN}&\$password=${AGILOFT_PASSWORD}&\$lang=en" \
  | python3 -c "import sys,json; data=json.load(sys.stdin); print(data.get('token',''))")

echo "Token: ${TOKEN}"

# Test Activity Log table access with JSON format
curl -v "${AGILOFT_HOST}/ewws/EWSearch/.json?\$KB=${AGILOFT_KB}&\$table=activity_log&\$login=${AGILOFT_LOGIN}&\$password=${AGILOFT_PASSWORD}&\$lang=en&limit=1&page=0&field=id&field=action&field=description&field=login&field=date" \
  -H "Accept: application/json"

Google Cloud Storage-Bucket erstellen

  1. Gehen Sie zur Google Cloud Console.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. agiloft-activity-logs.
    Standorttyp Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Standort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffskontrolle Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für die Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Erstellen Sie das Dienstkonto:

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie agiloft-logs-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Agiloft activity logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für den GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Prinzipale hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. agiloft-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie agiloft-logs-trigger ein.
    • Andere Einstellungen als Standardeinstellungen beibehalten
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Aktivitätsprotokolle aus der Agiloft REST API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname agiloft-logs-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema agiloft-logs-trigger aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto agiloft-logs-collector-sa aus.

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert Beschreibung
    GCS_BUCKET agiloft-activity-logs Name des GCS-Buckets
    GCS_PREFIX agiloft Präfix für Protokolldateien
    STATE_KEY agiloft/state.json Statusdateipfad
    AGILOFT_HOST https://yourcompany.agiloft.com Agiloft-Instanz-URL
    AGILOFT_KB YourKBName Agiloft-KB-Name (Groß-/Kleinschreibung beachten)
    AGILOFT_LOGIN siem_api_user API-Nutzeranmeldung
    AGILOFT_PASSWORD your-password API-Nutzerpasswort
    PAGE_SIZE 100 Einträge pro API-Seite
    MAX_RECORDS 10000 Maximale Anzahl von Datensätzen pro Ausführung
    LOOKBACK_HOURS 2 Erster Rückschauzeitraum

  10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main in das Feld Einstiegspunkt ein.

  2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

    • Erste Datei:main.py:

      import functions_framework
from google.cloud import storage
import json
import os
import urllib3
import urllib.parse
from datetime import datetime, timezone, timedelta
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
  timeout=urllib3.Timeout(connect=5.0, read=30.0),
  retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'agiloft').strip('/')
STATE_KEY = os.environ.get('STATE_KEY') or f"{GCS_PREFIX}/state.json"
AGILOFT_HOST = os.environ.get('AGILOFT_HOST', '').rstrip('/')
AGILOFT_KB = os.environ.get('AGILOFT_KB')
AGILOFT_LOGIN = os.environ.get('AGILOFT_LOGIN')
AGILOFT_PASSWORD = os.environ.get('AGILOFT_PASSWORD')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '2'))

ACTIVITY_LOG_FIELDS = [
  'id', 'action', 'action_duration', 'login', 'user_name',
  'user_primary_team', 'company', 'cookie', 'date',
  'description', 'groups', 'interface', 'ip',
  'record_id', 'rule_id', 'session_duration',
  'session_id', 'table_label'
]

def parse_datetime(value):
  """Parse ISO datetime string to datetime object."""
  if not value:
    return None
  if value.endswith("Z"):
    value = value[:-1] + "+00:00"
  try:
    return datetime.fromisoformat(value)
  except Exception:
    return None

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch
  Agiloft Activity Log records and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, AGILOFT_HOST, AGILOFT_KB, AGILOFT_LOGIN, AGILOFT_PASSWORD]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)

    # Load state
    state = load_state(bucket, STATE_KEY)

    # Determine time window
    now = datetime.now(timezone.utc)
    last_time = None

    if isinstance(state, dict) and state.get("last_event_time"):
      try:
        last_time = parse_datetime(state["last_event_time"])
        # Overlap by 2 minutes to catch delayed events
        if last_time:
          last_time = last_time - timedelta(minutes=2)
      except Exception as e:
        print(f"Warning: Could not parse last_event_time: {e}")

    if last_time is None:
      last_time = now - timedelta(hours=LOOKBACK_HOURS)

    print(f"Fetching activity logs from {last_time.isoformat()} to {now.isoformat()}")

    # Fetch activity logs
    records, newest_event_time = fetch_activity_logs(
      start_time=last_time,
      end_time=now,
    )

    if not records:
      print("No new activity log records found.")
      save_state(bucket, STATE_KEY, now.isoformat())
      return

    # Write to GCS as NDJSON
    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
    blob = bucket.blob(object_key)

    ndjson = '\n'.join(
      [json.dumps(record, ensure_ascii=False) for record in records]
    ) + '\n'
    blob.upload_from_string(ndjson, content_type='application/x-ndjson')

    print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

    # Update state
    if newest_event_time:
      save_state(bucket, STATE_KEY, newest_event_time)
    else:
      save_state(bucket, STATE_KEY, now.isoformat())

    print(f"Successfully processed {len(records)} records")

  except Exception as e:
    print(f'Error processing activity logs: {str(e)}')
    raise

def load_state(bucket, key):
  """Load state from GCS."""
  try:
    blob = bucket.blob(key)
    if blob.exists():
      state_data = blob.download_as_text()
      return json.loads(state_data)
  except Exception as e:
    print(f"Warning: Could not load state: {e}")
  return {}

def save_state(bucket, key, last_event_time_iso):
  """Save the last event timestamp to GCS state file."""
  try:
    state = {'last_event_time': last_event_time_iso}
    blob = bucket.blob(key)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_event_time={last_event_time_iso}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_activity_logs(start_time, end_time):
  """
  Fetch activity logs from Agiloft REST API with pagination.

  Args:
    start_time: Start time for log query
    end_time: End time for log query

  Returns:
    Tuple of (records list, newest_event_time ISO string)
  """
  base_url = f"{AGILOFT_HOST}/ewws/EWSearch/.json"

  # Build field parameters
  field_params = '&'.join(
    [f"field={urllib.parse.quote(f)}" for f in ACTIVITY_LOG_FIELDS]
  )

  # Build date filter query
  start_str = start_time.strftime('%d %m %y %H:%M:%S')
  end_str = end_time.strftime('%d %m %y %H:%M:%S')
  query_filter = urllib.parse.quote(
    f"date >= '{start_str}' AND date <= '{end_str}'"
  )

  records = []
  newest_time = None
  page_num = 0
  backoff = 1.0

  while True:
    if len(records) >= MAX_RECORDS:
      print(f"Reached max_records limit ({MAX_RECORDS})")
      break

    url = (
      f"{base_url}"
      f"?$KB={urllib.parse.quote(AGILOFT_KB)}"
      f"&$table=activity_log"
      f"&$login={urllib.parse.quote(AGILOFT_LOGIN)}"
      f"&$password={urllib.parse.quote(AGILOFT_PASSWORD)}"
      f"&$lang=en"
      f"&query={query_filter}"
      f"&limit={PAGE_SIZE}"
      f"&page={page_num}"
      f"&{field_params}"
    )

    try:
      response = http.request('GET', url)

      # Handle rate limiting with exponential backoff
      if response.status == 429:
        retry_after = int(
          response.headers.get('Retry-After', str(int(backoff)))
        )
        print(f"Rate limited (429). Retrying after {retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status != 200:
        print(f"HTTP Error: {response.status}")
        response_text = response.data.decode('utf-8')
        print(f"Response body: {response_text}")
        return [], None

      data = json.loads(response.data.decode('utf-8'))

      if not data.get('success', False):
        print(f"API error: {data.get('message', 'Unknown error')}")
        return [], None

      result = data.get('result', [])

      # Handle single record vs list
      if isinstance(result, dict):
        result = [result]

      if not result:
        print(f"No more results (empty page {page_num})")
        break

      print(f"Page {page_num}: Retrieved {len(result)} events")
      records.extend(result)

      # Track newest event time
      for event in result:
        try:
          event_time = event.get('date')
          if event_time:
            if newest_time is None:
              newest_time = event_time
            else:
              current_dt = parse_datetime(event_time)
              newest_dt = parse_datetime(newest_time)
              if current_dt and newest_dt and current_dt > newest_dt:
                newest_time = event_time
        except Exception as e:
          print(f"Warning: Could not parse event time: {e}")

      # Check pagination
      if len(result) < PAGE_SIZE:
        print(
          f"Reached last page (size={len(result)} < limit={PAGE_SIZE})"
        )
        break

      page_num += 1

    except Exception as e:
      print(f"Error fetching activity logs: {e}")
      return [], None

  print(f"Retrieved {len(records)} total records from {page_num + 1} pages")
  return records, newest_time

    • Zweite Datei – requirements.txt::

      functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name agiloft-logs-collector-hourly
    Region Dieselbe Region wie die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Thema agiloft-logs-trigger aus.
    Inhalt der Nachricht {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit Cron-Ausdruck Anwendungsfall
Stündlich 0 * * * * Standard (empfohlen)
Alle zwei Stunden 0 */2 * * * Lautstärke verringern
Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Funktionsnamen agiloft-logs-collector.
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

    Fetching activity logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 0: Retrieved X events
Wrote X records to gs://agiloft-activity-logs/agiloft/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets.

  10. Rufen Sie den Präfixordner agiloft/ auf.

  11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

  • HTTP 401: Überprüfen Sie die API-Anmeldedaten in den Umgebungsvariablen. Prüfen Sie, ob Nutzername und Passwort korrekt sind.
  • HTTP 403: Prüfen Sie, ob der API-Nutzer Lesezugriff auf die Tabelle „Aktivitätsprotokoll“ hat und einer REST-fähigen Gruppe angehört.
  • HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
  • „success“: false: Prüfen Sie die Fehlermeldung. Häufige Ursachen sind ein falscher KB-Name (Groß-/Kleinschreibung wird beachtet) oder Tabellenname.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Feed in Google SecOps konfigurieren, um Agiloft-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Agiloft Activity Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Agiloft als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E-Mail-Adresse für den nächsten Schritt.

  9. Klicken Sie auf Weiter.

  10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://agiloft-activity-logs/agiloft/
      • Ersetzen Sie:
        • agiloft-activity-logs: Der Name Ihres GCS-Buckets.
        • agiloft: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard ist 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

  11. Klicken Sie auf Weiter.

  12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
_1880_full_name_label additional.fields Zusammengeführt
_1888_full_name_label additional.fields Zusammengeführt
action_duration_label additional.fields Zusammengeführt
cookie_label additional.fields Zusammengeführt
creator_login_label additional.fields Zusammengeführt
creator_team_label additional.fields Zusammengeführt
deleteable_label additional.fields Zusammengeführt
demo_data_label additional.fields Zusammengeführt
interface_label additional.fields Zusammengeführt
login_label additional.fields Zusammengeführt
record_id_label additional.fields Zusammengeführt
table_label_label additional.fields Zusammengeführt
type_label additional.fields Zusammengeführt
description metadata.description Direkt zugeordnet
date metadata.event_timestamp Geparst als MMM dd yyyy HH:mm:ss
date_created metadata.event_timestamp Geparst als MMM dd yyyy HH:mm:ss
date_updated metadata.event_timestamp Geparst als MMM dd yyyy HH:mm:ss
timestamp metadata.event_timestamp Geparst als dd/MMM/yyyy:HH:mm:ss Z
has_principal metadata.event_type Zugeordnet: true → STATUS_UPDATE
has_principal_user metadata.event_type Zugeordnet: true → USER_UNCATEGORIZED
activity_log_id metadata.product_deployment_id Direkt zugeordnet
id metadata.product_log_id Direkt zugeordnet
method network.http.method Direkt zugeordnet
url network.http.referral_url Direkt zugeordnet
response_code network.http.response_code Direkt zugeordnet
byte_transferred network.received_bytes Direkt zugeordnet
session_duration network.session_duration.seconds Direkt zugeordnet
client_ip principal.asset.ip Zusammengeführt
ip principal.asset.ip Zusammengeführt
client_ip principal.ip Zusammengeführt
ip principal.ip Zusammengeführt
user_primary_team_label principal.user.attribute.labels Zusammengeführt
company principal.user.company_name Direkt zugeordnet
groups principal.user.group_identifiers Zusammengeführt
user_name principal.user.user_display_name Direkt zugeordnet
user principal.user.userid Direkt zugeordnet
user_login principal.user.userid Direkt zugeordnet
metadata.event_type Konstante: USER_UNCATEGORIZED
metadata.product_name Konstante: Agiloft
metadata.vendor_name Konstante: Agiloft

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten