Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Agiloft

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Agiloft in Google Security Operations utilizzando Google Cloud Storage V2.

Agiloft è una piattaforma no-code di gestione del ciclo di vita dei contratti (CLM) che automatizza la creazione dei contratti, i workflow di approvazione e il monitoraggio della conformità. La tabella del log attività di Agiloft registra gli eventi di utilizzo del sistema, ad esempio accessi e disconnessioni degli utenti, modifiche ai record, modifiche alle regole e azioni amministrative. Questi log delle attività possono essere esportati tramite l'API REST di Agiloft e scritti in un bucket GCS per l'importazione da parte di Google SecOps.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Storage Cloud abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Un'istanza Agiloft con la versione Advanced, Premium o Platform (l'accesso all'API REST richiede una di queste versioni)
Un account utente Agiloft in un gruppo abilitato a REST con accesso alla tabella del log attività
Logging delle attività abilitato nella knowledge base (KB) di Agiloft

Configurare il logging delle attività di Agiloft

Accedi alla knowledge base di Agiloft con un account amministratore.
Fai clic sull'icona a forma di ingranaggio Configurazione nell'angolo in alto a destra.
Vai a Sistema > Configura log attività.
Fai clic su Nuovo per aprire la procedura guidata Regole di controllo.
Fornisci i seguenti dettagli di configurazione:
- Nome: inserisci un nome per la regola (ad esempio, All Activity for SIEM).
- Lingua: seleziona la lingua della tastiera
Crea o seleziona una ricerca salvata che determini le azioni degli utenti da registrare.
Seleziona gli eventi da monitorare. Per un monitoraggio completo della sicurezza, seleziona:
- Accedi
- Disconnessione
- Accesso non riuscito
- Record Create
- Modifica record
- Record Delete
- Download file
- Modifica regola
- Modifica del workflow
- Modifica di gruppo
- Modifica team
- Modifica tabella
- Modifica colonna
Definisci il periodo di conservazione per i record di controllo (ad esempio, 1 year).
Fai clic su Fine.

Nota :per impostazione predefinita, Agiloft include regole di controllo per eventi di sistema, tutti gli accessi, azioni amministrative ed eliminazioni. Esamina le regole esistenti prima di crearne una nuova per evitare duplicati.

Mostra la tabella del log delle attività

Nella knowledge base di Agiloft, vai a Configurazione > Tabelle.
Seleziona Log attività dall'elenco delle tabelle.
Fai clic su Scopri per rendere accessibile la tabella del log attività per le query API.

Nota :la tabella del log delle attività deve essere visibile (non nascosta) prima di poterla interrogare tramite l'API REST.

Raccogli le credenziali API di Agiloft

Recuperare i dettagli dell'istanza Agiloft

Accedi alla tua istanza di Agiloft.
Prendi nota dei seguenti valori dalla barra degli indirizzi del browser:
- Nome host: l'indirizzo del server (ad esempio, yourcompany.agiloft.com)
- Nome KB: il nome della knowledge base, visualizzato nell'angolo in alto a destra della KB accanto all'icona Guida (ad esempio, Production)
Nota: i nomi delle basi di conoscenza sono sensibili alle maiuscole. Utilizza il nome esatto visualizzato nell'interfaccia di Agiloft.

Creare un utente API dedicato

Nella knowledge base di Agiloft, vai a Configurazione > Accesso > Persone.
Crea un nuovo account utente dedicato all'accesso API:
- Accesso: inserisci un accesso descrittivo (ad esempio, siem_api_user)
- Password: imposta una password efficace
Aggiungi l'utente a un gruppo per il quale è abilitato l'accesso all'API REST e l'accesso in lettura alla tabella Log delle attività.

Nota :l'utente API deve essere un account Agiloft nativo. Gli account LDAP non sono compatibili con l'autenticazione dell'API REST.

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

Accedi ad Agiloft con le credenziali utente API.
Vai a Configurazione > Tabelle.
Verifica che la tabella Log delle attività sia visibile e accessibile.
Se non riesci a visualizzare la tabella del log attività, contatta l'amministratore di Agiloft per concedere le autorizzazioni di gruppo necessarie.

Testare l'accesso API

Verifica le tue credenziali prima di procedere con l'integrazione:

AGILOFT_HOST="https://yourcompany.agiloft.com"
AGILOFT_KB="YourKBName"
AGILOFT_LOGIN="siem_api_user"
AGILOFT_PASSWORD="your-password"

# Test login and get JWT token
TOKEN=$(curl -s "${AGILOFT_HOST}/ewws/EWLogin?$KB=${AGILOFT_KB}&\$login=${AGILOFT_LOGIN}&\$password=${AGILOFT_PASSWORD}&\$lang=en" \
  | python3 -c "import sys,json; data=json.load(sys.stdin); print(data.get('token',''))")

echo "Token: ${TOKEN}"

# Test Activity Log table access with JSON format
curl -v "${AGILOFT_HOST}/ewws/EWSearch/.json?\$KB=${AGILOFT_KB}&\$table=activity_log&\$login=${AGILOFT_LOGIN}&\$password=${AGILOFT_PASSWORD}&\$lang=en&limit=1&page=0&field=id&field=action&field=description&field=login&field=date" \
  -H "Accept: application/json"

Crea un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `agiloft-activity-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attivare il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un account di servizio per la funzione Cloud Run

La funzione Cloud Run richiede un account di servizio con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea il account di servizio

Nella console Google Cloud, vai a IAM e amministrazione > Service account.
Fai clic su Crea account di servizio.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci agiloft-logs-collector-sa
- Descrizione service account: inserisci Service account for Cloud Run function to collect Agiloft activity logs
Fai clic su Crea e continua.
Nella sezione Concedi a questo account di servizio l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Storage Object Admin.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Storage Object Admin: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al account di servizio le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del account di servizio (ad esempio, agiloft-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea un argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci agiloft-logs-trigger
- Lascia le altre impostazioni predefinite
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log attività dall'API REST di Agiloft e scriverli in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`agiloft-logs-collector`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio, `us-central1`)
Tempo di esecuzione	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento agiloft-logs-trigger.
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestirà automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account (Account di servizio): seleziona l'account di servizio agiloft-logs-collector-sa

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio	Descrizione
`GCS_BUCKET`	`agiloft-activity-logs`	Nome del bucket GCS
`GCS_PREFIX`	`agiloft`	Prefisso per i file di log
`STATE_KEY`	`agiloft/state.json`	Percorso file di stato
`AGILOFT_HOST`	`https://yourcompany.agiloft.com`	URL dell'istanza Agiloft
`AGILOFT_KB`	`YourKBName`	Nome della knowledge base di Agiloft (sensibile alle maiuscole)
`AGILOFT_LOGIN`	`siem_api_user`	Accesso utente API
`AGILOFT_PASSWORD`	`your-password`	Password utente API
`PAGE_SIZE`	`100`	Record per pagina API
`MAX_RECORDS`	`10000`	Numero massimo di record per esecuzione
`LOOKBACK_HOURS`	`2`	Periodo di riferimento iniziale

Scorri verso il basso nella sezione Variabili e secret fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti)
Vai alla scheda Impostazioni:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o superiore
  - CPU: seleziona 1
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto)
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main nel campo Entry point (Punto di ingresso).

Nell'editor di codice incorporato, crea due file:

Primo file:main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
import urllib.parse
from datetime import datetime, timezone, timedelta
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
  timeout=urllib3.Timeout(connect=5.0, read=30.0),
  retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'agiloft').strip('/')
STATE_KEY = os.environ.get('STATE_KEY') or f"{GCS_PREFIX}/state.json"
AGILOFT_HOST = os.environ.get('AGILOFT_HOST', '').rstrip('/')
AGILOFT_KB = os.environ.get('AGILOFT_KB')
AGILOFT_LOGIN = os.environ.get('AGILOFT_LOGIN')
AGILOFT_PASSWORD = os.environ.get('AGILOFT_PASSWORD')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '2'))

ACTIVITY_LOG_FIELDS = [
  'id', 'action', 'action_duration', 'login', 'user_name',
  'user_primary_team', 'company', 'cookie', 'date',
  'description', 'groups', 'interface', 'ip',
  'record_id', 'rule_id', 'session_duration',
  'session_id', 'table_label'
]

def parse_datetime(value):
  """Parse ISO datetime string to datetime object."""
  if not value:
    return None
  if value.endswith("Z"):
    value = value[:-1] + "+00:00"
  try:
    return datetime.fromisoformat(value)
  except Exception:
    return None

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch
  Agiloft Activity Log records and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, AGILOFT_HOST, AGILOFT_KB, AGILOFT_LOGIN, AGILOFT_PASSWORD]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)

    # Load state
    state = load_state(bucket, STATE_KEY)

    # Determine time window
    now = datetime.now(timezone.utc)
    last_time = None

    if isinstance(state, dict) and state.get("last_event_time"):
      try:
        last_time = parse_datetime(state["last_event_time"])
        # Overlap by 2 minutes to catch delayed events
        if last_time:
          last_time = last_time - timedelta(minutes=2)
      except Exception as e:
        print(f"Warning: Could not parse last_event_time: {e}")

    if last_time is None:
      last_time = now - timedelta(hours=LOOKBACK_HOURS)

    print(f"Fetching activity logs from {last_time.isoformat()} to {now.isoformat()}")

    # Fetch activity logs
    records, newest_event_time = fetch_activity_logs(
      start_time=last_time,
      end_time=now,
    )

    if not records:
      print("No new activity log records found.")
      save_state(bucket, STATE_KEY, now.isoformat())
      return

    # Write to GCS as NDJSON
    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
    blob = bucket.blob(object_key)

    ndjson = '\n'.join(
      [json.dumps(record, ensure_ascii=False) for record in records]
    ) + '\n'
    blob.upload_from_string(ndjson, content_type='application/x-ndjson')

    print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

    # Update state
    if newest_event_time:
      save_state(bucket, STATE_KEY, newest_event_time)
    else:
      save_state(bucket, STATE_KEY, now.isoformat())

    print(f"Successfully processed {len(records)} records")

  except Exception as e:
    print(f'Error processing activity logs: {str(e)}')
    raise

def load_state(bucket, key):
  """Load state from GCS."""
  try:
    blob = bucket.blob(key)
    if blob.exists():
      state_data = blob.download_as_text()
      return json.loads(state_data)
  except Exception as e:
    print(f"Warning: Could not load state: {e}")
  return {}

def save_state(bucket, key, last_event_time_iso):
  """Save the last event timestamp to GCS state file."""
  try:
    state = {'last_event_time': last_event_time_iso}
    blob = bucket.blob(key)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_event_time={last_event_time_iso}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_activity_logs(start_time, end_time):
  """
  Fetch activity logs from Agiloft REST API with pagination.

  Args:
    start_time: Start time for log query
    end_time: End time for log query

  Returns:
    Tuple of (records list, newest_event_time ISO string)
  """
  base_url = f"{AGILOFT_HOST}/ewws/EWSearch/.json"

  # Build field parameters
  field_params = '&'.join(
    [f"field={urllib.parse.quote(f)}" for f in ACTIVITY_LOG_FIELDS]
  )

  # Build date filter query
  start_str = start_time.strftime('%d %m %y %H:%M:%S')
  end_str = end_time.strftime('%d %m %y %H:%M:%S')
  query_filter = urllib.parse.quote(
    f"date >= '{start_str}' AND date <= '{end_str}'"
  )

  records = []
  newest_time = None
  page_num = 0
  backoff = 1.0

  while True:
    if len(records) >= MAX_RECORDS:
      print(f"Reached max_records limit ({MAX_RECORDS})")
      break

    url = (
      f"{base_url}"
      f"?$KB={urllib.parse.quote(AGILOFT_KB)}"
      f"&$table=activity_log"
      f"&$login={urllib.parse.quote(AGILOFT_LOGIN)}"
      f"&$password={urllib.parse.quote(AGILOFT_PASSWORD)}"
      f"&$lang=en"
      f"&query={query_filter}"
      f"&limit={PAGE_SIZE}"
      f"&page={page_num}"
      f"&{field_params}"
    )

    try:
      response = http.request('GET', url)

      # Handle rate limiting with exponential backoff
      if response.status == 429:
        retry_after = int(
          response.headers.get('Retry-After', str(int(backoff)))
        )
        print(f"Rate limited (429). Retrying after {retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status != 200:
        print(f"HTTP Error: {response.status}")
        response_text = response.data.decode('utf-8')
        print(f"Response body: {response_text}")
        return [], None

      data = json.loads(response.data.decode('utf-8'))

      if not data.get('success', False):
        print(f"API error: {data.get('message', 'Unknown error')}")
        return [], None

      result = data.get('result', [])

      # Handle single record vs list
      if isinstance(result, dict):
        result = [result]

      if not result:
        print(f"No more results (empty page {page_num})")
        break

      print(f"Page {page_num}: Retrieved {len(result)} events")
      records.extend(result)

      # Track newest event time
      for event in result:
        try:
          event_time = event.get('date')
          if event_time:
            if newest_time is None:
              newest_time = event_time
            else:
              current_dt = parse_datetime(event_time)
              newest_dt = parse_datetime(newest_time)
              if current_dt and newest_dt and current_dt > newest_dt:
                newest_time = event_time
        except Exception as e:
          print(f"Warning: Could not parse event time: {e}")

      # Check pagination
      if len(result) < PAGE_SIZE:
        print(
          f"Reached last page (size={len(result)} < limit={PAGE_SIZE})"
        )
        break

      page_num += 1

    except Exception as e:
      print(f"Error fetching activity logs: {e}")
      return [], None

  print(f"Retrieved {len(records)} total records from {page_num + 1} pages")
  return records, newest_time

Secondo file:requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie. L'API REST di Agiloft introduce un ritardo di un secondo tra le chiamate per impostazione predefinita (configurabile tramite la variabile globale WSDelay). La funzione gestisce questa operazione in modo nativo tramite la paginazione sequenziale.

Crea un job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`agiloft-logs-collector-hourly`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`0 * * * *` (ogni ora, all'ora)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona l'argomento `agiloft-logs-trigger`
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni ora	`0 * * * *`	Standard (consigliato)
Ogni 2 ore	`0 /2 * *`	Abbassa il volume
Ogni 6 ore	`0 /6 * *`	Volume basso, elaborazione batch

Testare l'integrazione

Nella console Cloud Scheduler, trova il job.
Fai clic su Forza esecuzione per attivare il job manualmente.
Attendi qualche secondo.
Vai a Cloud Run > Servizi.
Fai clic sul nome della funzione agiloft-logs-collector.
Fai clic sulla scheda Log.

Verifica che la funzione sia stata eseguita correttamente. Cerca:

Fetching activity logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 0: Retrieved X events
Wrote X records to gs://agiloft-activity-logs/agiloft/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla cartella del prefisso agiloft/.
Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

HTTP 401: controlla le credenziali API nelle variabili di ambiente. Verifica che l'accesso e la password siano corretti.
HTTP 403: verifica che l'utente API abbia accesso in lettura alla tabella del log attività e appartenga a un gruppo abilitato per REST.
HTTP 429: limitazione di frequenza: la funzione verrà ritentata automaticamente con backoff.
"success": false: controlla il messaggio di errore. Le cause comuni includono il nome della knowledge base (sensibile alle maiuscole) o il nome della tabella errati.
Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate.

Configura un feed in Google SecOps per importare i log di Agiloft

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Agiloft Activity Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Agiloft come Tipo di log.
Fai clic su Ottieni service account. Verrà visualizzata un'email del account di servizio univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota :ogni istanza di Google SecOps ha un account di servizio univoco. Non utilizzare service account di altre documentazioni o esempi.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://agiloft-activity-logs/agiloft/
```
  - Sostituisci:
    - agiloft-activity-logs: il nome del bucket GCS.
    - agiloft: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).
Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina i file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
  Nota: se selezioni un'opzione di eliminazione, il account di servizio deve disporre del ruolo Storage Object Admin anziché Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del account di servizio Google SecOps
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina file trasferiti" o "Elimina file trasferiti e directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`_1880_full_name_label`	`additional.fields`	Unita
`_1888_full_name_label`	`additional.fields`	Unita
`action_duration_label`	`additional.fields`	Unita
`cookie_label`	`additional.fields`	Unita
`creator_login_label`	`additional.fields`	Unita
`creator_team_label`	`additional.fields`	Unita
`deleteable_label`	`additional.fields`	Unita
`demo_data_label`	`additional.fields`	Unita
`interface_label`	`additional.fields`	Unita
`login_label`	`additional.fields`	Unita
`record_id_label`	`additional.fields`	Unita
`table_label_label`	`additional.fields`	Unita
`type_label`	`additional.fields`	Unita
`description`	`metadata.description`	Mappato direttamente
`date`	`metadata.event_timestamp`	Analizzato come `MMM dd yyyy HH:mm:ss`
`date_created`	`metadata.event_timestamp`	Analizzato come `MMM dd yyyy HH:mm:ss`
`date_updated`	`metadata.event_timestamp`	Analizzato come `MMM dd yyyy HH:mm:ss`
`timestamp`	`metadata.event_timestamp`	Analizzato come `dd/MMM/yyyy:HH:mm:ss Z`
`has_principal`	`metadata.event_type`	Mappato: `true` → `STATUS_UPDATE`
`has_principal_user`	`metadata.event_type`	Mappato: `true` → `USER_UNCATEGORIZED`
`activity_log_id`	`metadata.product_deployment_id`	Mappato direttamente
`id`	`metadata.product_log_id`	Mappato direttamente
`method`	`network.http.method`	Mappato direttamente
`url`	`network.http.referral_url`	Mappato direttamente
`response_code`	`network.http.response_code`	Mappato direttamente
`byte_transferred`	`network.received_bytes`	Mappato direttamente
`session_duration`	`network.session_duration.seconds`	Mappato direttamente
`client_ip`	`principal.asset.ip`	Unita
`ip`	`principal.asset.ip`	Unita
`client_ip`	`principal.ip`	Unita
`ip`	`principal.ip`	Unita
`user_primary_team_label`	`principal.user.attribute.labels`	Unita
`company`	`principal.user.company_name`	Mappato direttamente
`groups`	`principal.user.group_identifiers`	Unita
`user_name`	`principal.user.user_display_name`	Mappato direttamente
`user`	`principal.user.userid`	Mappato direttamente
`user_login`	`principal.user.userid`	Mappato direttamente
N/D	`metadata.event_type`	Costante: `USER_UNCATEGORIZED`
N/D	`metadata.product_name`	Costante: `Agiloft`
N/D	`metadata.vendor_name`	Costante: `Agiloft`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.