Mengumpulkan log AWS CloudWatch

Didukung di:

Dokumen ini menjelaskan cara menyerap log AWS CloudWatch ke Google Security Operations menggunakan Amazon S3.

AWS CloudWatch adalah layanan pemantauan dan observabilitas yang mengumpulkan data operasional dalam bentuk log, metrik, dan peristiwa dari resource dan aplikasi AWS. Integrasi ini menggunakan Amazon Data Firehose untuk melakukan streaming data log CloudWatch ke bucket S3, yang kemudian di-ingest oleh Google SecOps menggunakan feed Amazon S3 V2.

Sebelum memulai

  • Instance Google SecOps
  • Akses istimewa ke AWS Management Console dengan izin untuk mengelola:
    • Amazon CloudWatch Logs (grup log, filter langganan)
    • Amazon Data Firehose (aliran pengiriman)
    • Amazon S3 (bucket)
    • AWS IAM (peran, kebijakan, pengguna)

Mengonfigurasi bucket AWS S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, cwlogs-to-secops).

Mengonfigurasi peran IAM untuk Amazon Data Firehose

Amazon Data Firehose memerlukan peran IAM untuk menulis log ke bucket S3 Anda.

Buat kebijakan IAM

  1. Di AWS Console, buka IAM > Policies > Create policy.
  2. Pilih tab JSON.

  3. Tempel kebijakan berikut (ganti cwlogs-to-secops dengan nama bucket Anda):

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Delivery",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::cwlogs-to-secops",
                "arn:aws:s3:::cwlogs-to-secops/*"
            ]
        },
        {
            "Sid": "CloudWatchLogging",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/kinesisfirehose/cwlogs-to-secops:log-stream:*"
        }
    ]
}

  4. Klik Berikutnya.

  5. Di kolom Nama kebijakan, masukkan FirehoseS3DeliveryPolicy.

  6. Klik Create policy.

Buat peran IAM

  1. Buka IAM > Roles > Create role.
  2. Pilih Custom trust policy.

  3. Tempelkan kebijakan tepercaya berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "firehose.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. Klik Berikutnya.

  5. Telusuri dan pilih FirehoseS3DeliveryPolicy.

  6. Klik Berikutnya.

  7. Di kolom Nama peran, masukkan FirehoseToS3Role.

  8. Klik Buat peran.

Buat aliran Amazon Data Firehose

  1. Buka konsol Kinesis di https://console.aws.amazon.com/kinesis.
  2. Di panel navigasi, pilih Amazon Data Firehose.
  3. Klik Create Firehose stream.
  4. Di bagian Pilih sumber dan tujuan, berikan konfigurasi berikut:
    • Sumber: Pilih PUT Langsung.
    • Tujuan: Pilih Amazon S3.
  5. Di kolom Firehose stream name, masukkan cwlogs-to-secops.

  6. Di bagian Transform records, di bagian Decompress source records from Amazon CloudWatch Logs:

    1. Pilih Aktifkan dekompresi.
    2. Jangan pilih Aktifkan ekstraksi pesan.

  7. Di bagian Setelan tujuan:

    • Bucket S3: Pilih bucket S3 cwlogs-to-secops.
    • Awalan bucket S3 (opsional): Masukkan cloudwatch-logs/.
    • Awalan output error bucket S3 (opsional): Masukkan firehose-errors/.

  8. Di bagian Buffer hints:

    • Ukuran buffer: 5 MiB (default).
    • Interval buffer: 300 detik (default).

  9. Di bagian Setelan lanjutan:

    • Enkripsi sisi server: Opsional. Aktifkan jika enkripsi diperlukan.
    • Logging error: Pilih Diaktifkan (direkomendasikan).
    • Izin: Pilih Pilih peran IAM yang ada, lalu pilih FirehoseToS3Role.

  10. Klik Create Firehose stream.

  11. Tunggu hingga Status aliran data menampilkan Aktif.

Mengonfigurasi peran IAM untuk CloudWatch Logs

CloudWatch Logs memerlukan peran IAM untuk mengirim data log ke aliran Firehose.

Buat kebijakan IAM

  1. Buka IAM > Policies > Create policy.
  2. Pilih tab JSON.

  3. Tempel kebijakan berikut (ganti <region> dan <account-id> dengan region AWS dan ID akun Anda):

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:<region>:<account-id>:deliverystream/cwlogs-to-secops"
        }
    ]
}

  4. Klik Berikutnya.

  5. Di kolom Nama kebijakan, masukkan CWLtoFirehoseWritePolicy.

  6. Klik Create policy.

Buat peran IAM

  1. Buka IAM > Roles > Create role.
  2. Pilih Custom trust policy.

  3. Tempel kebijakan kepercayaan berikut (ganti <region> dengan region AWS Anda):

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.<region>.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. Klik Berikutnya.

  5. Telusuri dan pilih CWLtoFirehoseWritePolicy.

  6. Klik Berikutnya.

  7. Di kolom Nama peran, masukkan CWLtoFirehoseRole.

  8. Klik Buat peran.

Membuat filter langganan CloudWatch Logs

  1. Di Konsol AWS, buka CloudWatch > Logs > Log groups.
  2. Pilih grup log target yang ingin Anda streaming ke Google SecOps.
  3. Pilih tab Filter langganan.
  4. Klik Buat > Buat filter langganan Amazon Data Firehose.
  5. Berikan detail konfigurasi berikut:
    • Tujuan: Pilih aliran Firehose cwlogs-to-secops.
    • Berikan izin: Pilih peran CWLtoFirehoseRole.
    • Nama filter langganan: Masukkan nama deskriptif (misalnya, secops-all-events).
    • Format log: Pilih Lainnya.
    • Pola filter langganan: Biarkan kosong untuk mengirim semua peristiwa, atau masukkan pola filter untuk mengirim hanya peristiwa tertentu.

  6. Klik Mulai streaming.

Mengonfigurasi pengguna IAM untuk Google SecOps

Google SecOps memerlukan pengguna IAM dengan akses ke bucket S3 untuk menyerap log yang dikirimkan.

  1. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  2. Pilih Pengguna yang dibuat.
  3. Pilih tab Kredensial keamanan.
  4. Klik Create Access Key di bagian Access Keys.
  5. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  6. Klik Berikutnya.
  7. Opsional: Tambahkan tag deskripsi.
  8. Klik Create access key.
  9. Klik Download file .csv untuk menyimpan Kunci Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
  10. Klik Done.
  11. Pilih tab Permissions.
  12. Klik Tambahkan izin di bagian Kebijakan izin.
  13. Pilih Tambahkan izin.
  14. Pilih Lampirkan kebijakan secara langsung.
  15. Cari kebijakan AmazonS3FullAccess.
  16. Pilih kebijakan.
  17. Klik Berikutnya.
  18. Klik Add permissions.

Mengonfigurasi feed di Google SecOps untuk menyerap log AWS CloudWatch

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Masukkan nama unik untuk Nama feed.
  5. Pilih Amazon S3 V2 sebagai Jenis sumber.
  6. Pilih AWS CloudWatch sebagai Jenis log.
  7. Klik Berikutnya, lalu klik Kirim.
  8. Tentukan nilai untuk kolom berikut:
    • URI S3: s3://cwlogs-to-secops/cloudwatch-logs/
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang dimodifikasi dalam beberapa hari terakhir (defaultnya adalah 180 hari).
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
  9. Klik Berikutnya, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
account principal.user.userid Nilai account dari log mentah dipetakan ke kolom principal.user.userid.
account_id principal.user.userid Nilai account_id dari log mentah dipetakan ke kolom principal.user.userid.
AlertId metadata.product_log_id Nilai AlertId dari log mentah dipetakan ke kolom metadata.product_log_id.
arrivalTimestamp metadata.event_timestamp Nilai arrivalTimestamp dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
attemptsMade additional.fields Nilai attemptsMade dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Attempts Made".
awsAccountId principal.asset_id Nilai awsAccountId dari log mentah diawali dengan "AWS Account id: " dan dipetakan ke kolom principal.asset_id.
billed_duration additional.fields Nilai billed_duration dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "billed_duration".
BytesIn network.received_bytes Nilai BytesIn dari log mentah dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan dipetakan ke kolom network.received_bytes.
cipher network.tls.cipher Nilai cipher dari log mentah dipetakan ke kolom network.tls.cipher.
Ciphers network.tls.client.supported_ciphers Nilai Ciphers dari log mentah dipisahkan dengan koma dan setiap nilai ditambahkan ke array network.tls.client.supported_ciphers.
cloudwatchLog security_result.description Nilai cloudwatchLog dari log mentah dipetakan ke kolom security_result.description.
CloudAccountId metadata.product_deployment_id Nilai CloudAccountId dari log mentah dipetakan ke kolom metadata.product_deployment_id.
CloudType target.resource.attribute.cloud.environment Nilai CloudType dari log mentah menentukan nilai target.resource.attribute.cloud.environment. Jika CloudType adalah "gcp", nilainya adalah "GOOGLE_CLOUD_PLATFORM". Jika CloudType adalah "aws", nilainya adalah "AMAZON_WEB_SERVICES". Jika CloudType adalah "azure", nilainya adalah "MICROSOFT_AZURE".
Context.Execution.Id target.resource.attribute.labels Nilai Context.Execution.Id dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "ID Konteks".
Context.Execution.Name target.resource.attribute.labels Nilai Context.Execution.Name dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Nama Konteks".
Context.Execution.RoleArn target.resource.product_object_id Nilai Context.Execution.RoleArn dari log mentah dipetakan ke kolom target.resource.product_object_id.
descr metadata.description Nilai descr dari log mentah, setelah menghapus spasi tambahan, dipetakan ke kolom metadata.description kecuali jika berupa "-". Jika descr kosong, nilai log akan digunakan.
destination.name target.location.country_or_region Nilai destination.name dari log mentah dipetakan ke kolom target.location.country_or_region.
destination.properties.prefix target.resource.attribute.labels Nilai destination.properties.prefix dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Awalan properti tujuan".
detail.additionalEventData.configRuleArn security_result.rule_id Nilai detail.additionalEventData.configRuleArn dari log mentah dipetakan ke kolom security_result.rule_id.
detail.additionalEventData.configRuleName security_result.rule_name Nilai detail.additionalEventData.configRuleName dari log mentah dipetakan ke kolom security_result.rule_name.
detail.additionalEventData.managedRuleIdentifier additional.fields Nilai detail.additionalEventData.managedRuleIdentifier dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "managedRuleIdentifier".
detail.additionalEventData.notificationJobType additional.fields Nilai detail.additionalEventData.notificationJobType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "notificationJobType".
detail.awsAccountId principal.asset_id Nilai detail.awsAccountId dari log mentah diawali dengan "AWS Account id: " dan dipetakan ke kolom principal.asset_id.
detail.awsRegion principal.location.name Nilai detail.awsRegion dari log mentah dipetakan ke kolom principal.location.name.
detail.configRuleArn security_result.rule_id Nilai detail.configRuleArn dari log mentah dipetakan ke kolom security_result.rule_id.
detail.configRuleName security_result.rule_name Nilai detail.configRuleName dari log mentah dipetakan ke kolom security_result.rule_name.
detail.configurationItem.awsAccountId principal.user.userid Nilai detail.configurationItem.awsAccountId dari log mentah dipetakan ke kolom principal.user.userid.
detail.configurationItem.awsRegion target.location.country_or_region Nilai detail.configurationItem.awsRegion dari log mentah dipetakan ke kolom target.location.country_or_region.
detail.configurationItem.configuration.complianceType security_result.summary Nilai detail.configurationItem.configuration.complianceType dari log mentah dipetakan ke kolom security_result.summary.
detail.configurationItem.configuration.targetResourceId target.resource.attribute.labels Nilai detail.configurationItem.configuration.targetResourceId dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configuration targetResourceId".
detail.configurationItem.configuration.targetResourceType target.resource.attribute.labels Nilai detail.configurationItem.configuration.targetResourceType dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configuration targetResourceType".
detail.configurationItem.configurationItemCaptureTime _target.asset.attribute.creation_time Nilai detail.configurationItem.configurationItemCaptureTime dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom _target.asset.attribute.creation_time.
detail.configurationItem.configurationItemStatus target.resource.attribute.labels Nilai detail.configurationItem.configurationItemStatus dari log mentah ditambahkan sebagai key-value pair ke target.resource.attribute.labels dengan kunci "configurationItem configurationItemStatus".
detail.configurationItem.configurationStateId target.resource.attribute.labels Nilai detail.configurationItem.configurationStateId dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "configurationItem configurationStateId".
detail.configurationItem.resourceId target.resource.id Nilai detail.configurationItem.resourceId dari log mentah dipetakan ke kolom target.resource.id.
detail.configurationItem.resourceType target.resource.resource_subtype Nilai detail.configurationItem.resourceType dari log mentah dipetakan ke kolom target.resource.resource_subtype.
detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn security_result.rule_id Nilai detail.configurationItemDiff.changedProperties.Configuration.configRuleList.1.updatedValue.configRuleArn dari log mentah dipetakan ke kolom security_result.rule_id.
detail.eventCategory security_result.category_details Nilai detail.eventCategory dari log mentah dipetakan ke kolom security_result.category_details.
detail.eventID metadata.product_log_id Nilai detail.eventID dari log mentah dipetakan ke kolom metadata.product_log_id.
detail.eventName additional.fields Nilai detail.eventName dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Nama Peristiwa".
detail.eventSource target.application Nilai detail.eventSource dari log mentah dipetakan ke kolom target.application.
detail.eventType additional.fields Nilai detail.eventType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Jenis Peristiwa".
detail.eventVersion metadata.product_version Nilai detail.eventVersion dari log mentah dipetakan ke kolom metadata.product_version.
detail.managementEvent additional.fields Nilai detail.managementEvent dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "detail managementEvent".
detail.messageType target.resource.attribute.labels Nilai detail.messageType dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Message Type".
detail.newEvaluationResult.complianceType security_result.summary Nilai detail.newEvaluationResult.complianceType dari log mentah dipetakan ke kolom security_result.summary.
detail.newEvaluationResult.configRuleInvokedTime additional.fields Nilai detail.newEvaluationResult.configRuleInvokedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_configRuleInvokedTime".
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Nilai detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_configRuleName".
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Nilai detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_resourceId".
detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Nilai detail.newEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_resourceType".
detail.newEvaluationResult.resultRecordedTime additional.fields Nilai detail.newEvaluationResult.resultRecordedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "newEvaluationResult_resultRecordedTime".
detail.oldEvaluationResult.configRuleInvokedTime additional.fields Nilai detail.oldEvaluationResult.configRuleInvokedTime dari log mentah ditambahkan sebagai key-value pair ke additional.fields dengan kunci "oldEvaluationResult_configRuleInvokedTime".
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName additional.fields Nilai detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.configRuleName dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_configRuleName".
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId additional.fields Nilai detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_resourceId".
detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType additional.fields Nilai detail.oldEvaluationResult.evaluationResultIdentifier.evaluationResultQualifier.resourceType dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_resourceType".
detail.oldEvaluationResult.resultRecordedTime additional.fields Nilai detail.oldEvaluationResult.resultRecordedTime dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "oldEvaluationResult_resultRecordedTime".
detail.readOnly additional.fields Nilai detail.readOnly dari log mentah dikonversi menjadi string dan ditambahkan sebagai key-value pair ke additional.fields dengan kunci "detail readOnly".
detail.recipientAccountId target.resource.attribute.labels Nilai detail.recipientAccountId dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Recipient Account Id".
detail.recordVersion metadata.product_version Nilai detail.recordVersion dari log mentah dipetakan ke kolom metadata.product_version.
detail.requestID target.resource.attribute.labels Nilai detail.requestID dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "ID Permintaan Detail".
detail.resourceType target.resource.resource_subtype Nilai detail.resourceType dari log mentah dipetakan ke kolom target.resource.resource_subtype.
detail.s3Bucket about.resource.name Nilai detail.s3Bucket dari log mentah dipetakan ke kolom about.resource.name.
detail.s3ObjectKey target.resource.attribute.labels Nilai detail.s3ObjectKey dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "s3ObjectKey".
detail.userAgent network.http.user_agent Nilai detail.userAgent dari log mentah dipetakan ke kolom network.http.user_agent.
detail.userIdentity.accessKeyId target.user.userid Nilai detail.userIdentity.accessKeyId dari log mentah dipetakan ke kolom target.user.userid.
detail.userIdentity.accountId metadata.product_deployment_id Nilai detail.userIdentity.accountId dari log mentah dipetakan ke kolom metadata.product_deployment_id.
detail.userIdentity.arn target.user.userid Nilai detail.userIdentity.arn dari log mentah dipetakan ke kolom target.user.userid.
detail.userIdentity.principalId principal.user.product_object_id Nilai detail.userIdentity.principalId dari log mentah dipetakan ke kolom principal.user.product_object_id.
detail.userIdentity.sessionContext.attributes.mfaAuthenticated principal.user.attribute.labels Nilai detail.userIdentity.sessionContext.attributes.mfaAuthenticated dari log mentah ditambahkan sebagai pasangan nilai kunci ke principal.user.attribute.labels dengan kunci "mfaAuthenticated".
detail.userIdentity.sessionContext.sessionIssuer.userName target.user.user_display_name Nilai detail.userIdentity.sessionContext.sessionIssuer.userName dari log mentah dipetakan ke kolom target.user.user_display_name.
detail.userIdentity.type principal.resource.type Nilai detail.userIdentity.type dari log mentah dipetakan ke kolom principal.resource.type.
detail-type metadata.product_event_type Nilai detail-type dari log mentah dipetakan ke kolom metadata.product_event_type.
device principal.asset.product_object_id Nilai device dari log mentah dipetakan ke kolom principal.asset.product_object_id.
digestPublicKeyFingerprint target.file.sha1 Nilai digestPublicKeyFingerprint dari log mentah dipetakan ke kolom target.file.sha1.
digestS3Bucket principal.resource.name Nilai digestS3Bucket dari log mentah dipetakan ke kolom principal.resource.name.
digestS3Object principal.asset.asset_id Nilai digestS3Object dari log mentah diawali dengan "S3 Object: " dan dipetakan ke kolom principal.asset.asset_id.
digestSignatureAlgorithm network.tls.cipher Nilai digestSignatureAlgorithm dari log mentah dipetakan ke kolom network.tls.cipher.
digestStartTime metadata.event_timestamp Nilai digestStartTime dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
dimensions.VolumeId additional.fields Nilai dimensions.VolumeId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "VolumeId".
duration additional.fields Nilai duration dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "duration".
errorCode security_result.rule_name Nilai errorCode dari log mentah dipetakan ke kolom security_result.rule_name.
errorMessage security_result.summary Nilai errorMessage dari log mentah dipetakan ke kolom security_result.summary.
executionId principal.process.pid Nilai executionId dari log mentah dipetakan ke kolom principal.process.pid.
host principal.hostname, principal.ip Nilai host dari log mentah, dengan tanda hubung diganti dengan titik, diuraikan sebagai alamat IP dan dipetakan ke kolom principal.ip jika berhasil. Jika tidak, nilai ini dipetakan ke kolom principal.hostname.
http_verb network.http.method Nilai http_verb dari log mentah dikonversi menjadi huruf besar dan dipetakan ke kolom network.http.method.
kubernetes.container_hash additional.fields Nilai kubernetes.container_hash dari log mentah ditambahkan sebagai key-value pair ke additional.fields dengan kunci "container_hash".
kubernetes.container_image additional.fields Nilai kubernetes.container_image dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "container_image".
kubernetes.container_name additional.fields Nilai kubernetes.container_name dari log mentah ditambahkan sebagai key-value pair ke additional.fields dengan kunci "container_name".
kubernetes.docker_id principal.asset_id Nilai kubernetes.docker_id dari log mentah diawali dengan "id: " dan dipetakan ke kolom principal.asset_id.
kubernetes.host principal.hostname, principal.ip Nilai kubernetes.host dari log mentah, dengan tanda hubung diganti dengan titik, diuraikan sebagai alamat IP dan dipetakan ke kolom principal.ip jika berhasil. Jika tidak, nilai ini dipetakan ke kolom principal.hostname.
kubernetes.namespace principal.namespace Nilai kubernetes.namespace dari log mentah dipetakan ke kolom principal.namespace.
kubernetes.namespace_name principal.namespace Nilai kubernetes.namespace_name dari log mentah dipetakan ke kolom principal.namespace.
kubernetes.pod_id principal.asset.asset_id Nilai kubernetes.pod_id dari log mentah diawali dengan "pod_id: " dan dipetakan ke kolom principal.asset.asset_id.
kubernetes.pod_name additional.fields Nilai kubernetes.pod_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "nama pod".
lambdaArn principal.hostname Nilai lambdaArn dari log mentah dipetakan ke kolom principal.hostname.
level security_result.severity Nilai level dari log mentah menentukan nilai security_result.severity. Jika level adalah "Info", nilainya adalah "INFORMATIONAL". Jika level adalah "Error", nilainya adalah "ERROR". Jika level adalah "Warning", nilainya adalah "MEDIUM".
log metadata.description Nilai log dari log mentah dipetakan ke kolom metadata.description jika descr kosong.
logFiles about Untuk setiap elemen dalam array logFiles dari log mentah, objek about dibuat dengan file.full_path ditetapkan ke s3Object, asset.hostname ditetapkan ke s3Bucket, dan file.sha256 ditetapkan ke hashValue.
log_processed.cause security_result.summary Nilai log_processed.cause dari log mentah dipetakan ke kolom security_result.summary.
log_processed.ids intermediary.hostname Untuk setiap elemen dalam array log_processed.ids dari log mentah, objek intermediary dibuat dengan hostname yang ditetapkan ke nilai elemen.
log_processed.level security_result.severity Nilai log_processed.level dari log mentah dipetakan ke kolom security_result.severity.
log_processed.msg metadata.description Nilai log_processed.msg dari log mentah dipetakan ke kolom metadata.description.
log_processed.ts metadata.event_timestamp Nilai log_processed.ts dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
log_type metadata.log_type Nilai log_type dari log mentah dipetakan ke kolom metadata.log_type. Ini adalah kolom kustom yang ditambahkan untuk konteks.
logevent.message security_result.description Nilai logevent.message dari log mentah dipetakan ke kolom security_result.description. Log ini juga di-parsing menggunakan grok untuk mengekstrak kolom tambahan.
logGroup security_result.about.resource.name Nilai logGroup dari log mentah dipetakan ke kolom security_result.about.resource.name.
logStream security_result.about.resource.attribute.labels Nilai logStream dari log mentah ditambahkan sebagai pasangan nilai kunci ke security_result.about.resource.attribute.labels dengan kunci "logStream".
memory_used additional.fields Nilai memory_used dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "memory_used".
metric_name additional.fields Nilai metric_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "metric_name".
metric_stream_name additional.fields Nilai metric_stream_name dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "metric_stream_name".
namespace principal.namespace Nilai namespace dari log mentah dipetakan ke kolom principal.namespace.
owner principal.user.userid Nilai owner dari log mentah dipetakan ke kolom principal.user.userid.
parameters additional.fields Nilai parameters dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Parameters".
Path principal.process.file.full_path Nilai Path dari log mentah dipetakan ke kolom principal.process.file.full_path.
pid principal.process.pid Nilai pid dari log mentah dipetakan ke kolom principal.process.pid.
PolicyName security_result.rule_name Nilai PolicyName dari log mentah dipetakan ke kolom security_result.rule_name.
prin_host principal.hostname Nilai prin_host dari log mentah dipetakan ke kolom principal.hostname.
principal_hostname principal.hostname Nilai principal_hostname dari log mentah dipetakan ke kolom principal.hostname.
process principal.application Nilai process dari log mentah dipetakan ke kolom principal.application.
rawData additional.fields Nilai rawData dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Data Mentah".
Recommendation security_result.detection_fields Nilai Recommendation dari log mentah ditambahkan sebagai pasangan nilai kunci ke security_result.detection_fields dengan kunci "Recommendation".
referral_url network.http.referral_url Nilai referral_url dari log mentah dipetakan ke kolom network.http.referral_url.
region principal.location.name Nilai region dari log mentah dipetakan ke kolom principal.location.name.
resp_code network.http.response_code Nilai resp_code dari log mentah dikonversi menjadi bilangan bulat dan dipetakan ke kolom network.http.response_code.
resource_url network.http.referral_url Nilai resource_url dari log mentah dipetakan ke kolom network.http.referral_url.
ResourceType target.resource.resource_subtype Nilai ResourceType dari log mentah dipetakan ke kolom target.resource.resource_subtype.
response_body additional.fields Nilai response_body dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "Isi respons".
Role target.resource.product_object_id Nilai Role dari log mentah dipetakan ke kolom target.resource.product_object_id.
s3_bucket_path target.file.full_path Nilai s3_bucket_path dari log mentah dipetakan ke kolom target.file.full_path.
sec_result.category security_result.category Nilai sec_result.category berasal dari logika parser. Jika descr berisi "authentication is required", nilainya adalah "AUTH_VIOLATION".
sec_result.description security_result.description Nilai sec_result.description berasal dari logika parser. Atribut ini ditetapkan ke nilai cloudwatchLog jika ada.
sec_result.severity security_result.severity Nilai sec_result.severity berasal dari logika parser. Nilai ini ditetapkan berdasarkan nilai severity atau level.
sec_result.summary security_result.summary Nilai sec_result.summary berasal dari logika parser. Nilai ini ditetapkan ke nilai log_processed.cause atau errorMessage jika ada.
security_result security_result Objek security_result dibuat dari berbagai kolom dan logika parser.
serverId additional.fields Nilai serverId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "server_id".
severity security_result.severity Nilai severity dari log mentah, yang dikonversi menjadi huruf besar dan dinormalisasi, dipetakan ke kolom security_result.severity.
Source principal.hostname Nilai Source dari log mentah dipetakan ke kolom principal.hostname.
source principal.hostname Nilai source dari log mentah dipetakan ke kolom principal.hostname.
SourceIP principal.ip Nilai SourceIP dari log mentah dipetakan ke kolom principal.ip.
src_port principal.port Jika src_port adalah "80", nilai tersebut akan dikonversi menjadi bilangan bulat dan dipetakan ke kolom principal.port, dan network.application_protocol akan disetel ke "HTTP".
stream additional.fields Nilai stream dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "stream".
subscriptionFilters security_result.about.resource.attribute.labels Untuk setiap elemen dalam array subscriptionFilters dari log mentah, pasangan nilai kunci ditambahkan ke security_result.about.resource.attribute.labels dengan kunci "subscriptionFilter" dan nilai dari array.
support_contact target.resource.attribute.labels Nilai support_contact dari log mentah ditambahkan sebagai pasangan nilai kunci ke target.resource.attribute.labels dengan kunci "Support Contact".
t_ip target.ip Nilai t_ip dari log mentah, setelah menghapus tanda hubung, diuraikan sebagai alamat IP dan dipetakan ke kolom target.ip jika berhasil.
time metadata.event_timestamp Nilai time dari log mentah dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
timestamp metadata.event_timestamp Nilai timestamp dari log mentah dikonversi menjadi stempel waktu menggunakan berbagai format dan dipetakan ke kolom metadata.event_timestamp.
tls network.tls.version Nilai tls dari log mentah dipetakan ke kolom network.tls.version.
transferDetails.serverId additional.fields Nilai transferDetails.serverId dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "server_id".
transferDetails.sessionId network.session_id Nilai transferDetails.sessionId dari log mentah dipetakan ke kolom network.session_id.
transferDetails.username principal.user.user_display_name Nilai transferDetails.username dari log mentah dipetakan ke kolom principal.user.user_display_name.
ts metadata.event_timestamp Nilai ts dari log mentah, yang dikombinasikan dengan zona waktu jika tersedia, dikonversi menjadi stempel waktu dan dipetakan ke kolom metadata.event_timestamp.
type metadata.product_event_type Nilai type dari log mentah dipetakan ke kolom metadata.product_event_type.
unit additional.fields Nilai unit dari log mentah ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "unit".
url target.url Nilai url dari log mentah dipetakan ke kolom target.url.
url_back_to_product metadata.url_back_to_product Nilai url_back_to_product dari log mentah dipetakan ke kolom metadata.url_back_to_product.
User principal.user.userid Nilai User dari log mentah dipetakan ke kolom principal.user.userid.
user target.user.userid, metadata.event_type, extensions.auth.mechanism Jika user ada, metadata.event_type ditetapkan ke "USER_LOGIN", extensions.auth.mechanism ditetapkan ke "NETWORK", dan nilai user dipetakan ke target.user.userid.
value.count additional.fields Nilai value.count dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "count".
value.max additional.fields Nilai value.max dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "max".
value.min additional.fields Nilai value.min dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "min".
value.sum additional.fields Nilai value.sum dari log mentah dikonversi menjadi string dan ditambahkan sebagai pasangan nilai kunci ke additional.fields dengan kunci "sum".
workflowId additional.fields Nilai workflowId dari log mentah ditambahkan sebagai key-value pair ke additional.fields dengan kunci "workflowId".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.