Mengumpulkan log Resource Microsoft Azure

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Microsoft Azure Resource dengan menyiapkan feed Google Security Operations menggunakan Microsoft Azure Blob Storage V2.

Log resource Azure memberikan insight tentang operasi yang dilakukan dalam resource Azure. Log ini mencatat informasi mendetail tentang operasi resource, status, dan metrik performa. Konten bervariasi menurut jenis resource dan mencakup data seperti peristiwa autentikasi, perubahan konfigurasi, upaya akses, dan metrik operasional.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Akses istimewa ke portal Microsoft Azure dengan izin untuk:
- Membuat Akun Penyimpanan
- Mengonfigurasi Setelan Diagnostik untuk resource Azure
- Mengelola kunci akses
Catatan: Jika Anda membatasi akses ke resource Azure menggunakan firewall Azure Storage, Anda harus menambahkan rentang IP yang digunakan oleh pekerja Storage Transfer Service (STS) ke daftar IP yang diizinkan. Lihat Daftar IP yang Diizinkan.

Mengonfigurasi Akun Azure Storage

Buat Akun Penyimpanan

Di portal Azure, cari Storage accounts.
Klik + Create.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Langganan	Pilih langganan Azure Anda
Grup resource	Pilih yang sudah ada atau buat yang baru
Nama akun penyimpanan	Masukkan nama unik (misalnya, `azureresourcelogs`)
Wilayah	Pilih region (misalnya, `East US`)
Performa	Standar (direkomendasikan)
Redundansi	GRS (Geo-redundant storage) atau LRS (Locally redundant storage)

Klik Tinjau + buat.
Tinjau ringkasan akun, lalu klik Buat.
Tunggu hingga deployment selesai.

Mendapatkan kredensial Akun Penyimpanan

Buka Akun Penyimpanan yang baru saja Anda buat.
Di navigasi kiri, pilih Kunci akses di bagian Keamanan + jaringan.
Klik Tampilkan kunci.
Salin dan simpan hal berikut untuk digunakan nanti:
- Nama akun penyimpanan: azureresourcelogs
- Kunci 1 atau Kunci 2: Kunci akses bersama (string acak 512-bit dalam encoding base-64)

Mendapatkan endpoint Blob Service

Di Akun Penyimpanan yang sama, pilih Endpoints dari navigasi kiri.
Salin dan simpan URL endpoint Blob service.
- Contoh: https://azureresourcelogs.blob.core.windows.net/

Mengonfigurasi Setelan Diagnostik Resource Azure

Log resource Azure tidak dikumpulkan secara default. Anda harus membuat setelan diagnostik untuk setiap resource Azure guna merutekan log ke akun penyimpanan.

Di portal Azure, buka resource Azure yang ingin Anda pantau.
Di navigasi kiri, pilih Setelan diagnostik di bagian Monitoring.
Klik + Tambahkan setelan diagnostik.
Berikan detail konfigurasi berikut:
- Nama setelan diagnostik: Masukkan nama deskriptif (misalnya, export-to-secops).
- Di bagian Log, pilih kategori log yang ingin Anda kumpulkan. Kategori yang tersedia bervariasi menurut jenis resource.
  
  Kategori umum mencakup:
  - Administratif (untuk Log Aktivitas)
  - Keamanan (untuk Log Aktivitas)
  - AuditEvent (untuk Key Vault)
  - ApplicationGatewayAccessLog (untuk Application Gateway)
  - ApplicationGatewayFirewallLog (untuk Application Gateway)
  - NetworkSecurityGroupEvent (untuk Network Security Groups)
- Di bagian Metrics (opsional), pilih AllMetrics untuk mengirim metrik platform ke akun penyimpanan.
- Di bagian Destination details, centang kotak Archive to a storage account.
- Subscription: Pilih langganan yang berisi akun penyimpanan Anda.
- Akun penyimpanan: Pilih akun penyimpanan yang Anda buat sebelumnya (misalnya, azureresourcelogs).
Klik Simpan.

Setelah konfigurasi, log akan otomatis diekspor ke penampung di akun penyimpanan. Azure membuat container menggunakan pola penamaan insights-logs-<log-category-name>. Contoh:
- Log audit Key Vault: insights-logs-auditevent
- Log akses Application Gateway: insights-logs-applicationgatewayaccesslog
- Log firewall Application Gateway: insights-logs-applicationgatewayfirewalllog
- Peristiwa Network Security Group: insights-logs-networksecuritygroupevent
Catatan: Nama penampung tertentu bergantung pada kategori log yang Anda pilih di setelan diagnostik. Setiap kategori log membuat penampung terpisah.

Mengonfigurasi feed di Google SecOps untuk memproses Log Resource Azure

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Azure Resource Logs).
Pilih Microsoft Azure Blob Storage V2 sebagai Jenis sumber.
Pilih Microsoft Azure Resource sebagai Log type.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URI Azure: Masukkan URL endpoint Blob Service dengan jalur penampung:
```
https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
```
  Ganti kode berikut:
  - azureresourcelogs: Nama akun penyimpanan Azure Anda.
  - <category-name>: Nama kategori log (misalnya, auditevent untuk Key Vault, applicationgatewayaccesslog untuk Application Gateway).
  Catatan: Sertakan garis miring (/) di akhir URI. Jika Anda memiliki beberapa kategori log, buat feed terpisah untuk setiap container.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer.
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
  Catatan: Jika Anda memilih opsi penghapusan, pastikan Anda memberikan izin yang sesuai ke akun layanan.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Shared key: Masukkan nilai kunci bersama (kunci akses) yang Anda ambil dari Akun Penyimpanan di langkah 3.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Konfigurasi firewall Azure Storage (jika diaktifkan)

Jika Akun Azure Storage Anda menggunakan firewall, Anda harus menambahkan rentang IP Google SecOps.

Untuk mendapatkan rentang IP saat ini, pilih salah satu opsi berikut:
- Lihat dokumentasi Daftar IP yang Diizinkan
- Ambil secara terprogram menggunakan Feed Management API
Di portal Azure, buka Akun Penyimpanan Anda.
Pilih Networking di bagian Security + networking.
Di bagian Firewalls and virtual networks, pilih Enabled from selected virtual networks and IP addresses.
Di bagian Firewall, di bagian Rentang alamat, klik + Tambahkan rentang IP.
Tambahkan setiap rentang IP Google SecOps dalam notasi CIDR.
Klik Simpan.

Catatan: Sumber feed ini menggunakan Storage Transfer Service (STS) untuk mentransfer data dari penyimpanan Azure ke Google SecOps. Sebelum menggunakan sumber feed ini, Anda mungkin perlu menambahkan rentang IP yang digunakan oleh pekerja STS ke daftar IP yang diizinkan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
	event.idm.read_only_udm.additional.fields	Digabungkan dari berbagai kolom label seperti hostVersion_field, functionInvocationId_field, dll., berdasarkan kondisi.
	event.idm.read_only_udm.extensions.auth.type	Disetel ke "MACHINE" untuk kategori SQLSecurityAuditEvents.
	event.idm.read_only_udm.extensions.auth.type	Disetel ke "AUTHTYPE_UNSPECIFIED" untuk kategori RiskyServicePrincipals, RiskyUsers, UserRiskEvents, NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ProvisioningLogs, ADFSSignInLogs, ServicePrincipalRiskEvents.
	event.idm.read_only_udm.extensions.auth.type	Disetel ke "SSO" untuk kategori di ["RiskyServicePrincipals","RiskyUsers","UserRiskEvents","NonInteractiveUserSignInLogs","ServicePrincipalSignInLogs","ProvisioningLogs","ADFSSignInLogs","ServicePrincipalRiskEvents"].
	event.idm.read_only_udm.extensions.auth.mechanism	Digabungkan dari auth_mechanism jika ditetapkan ke "USERNAME_PASSWORD".
	event.idm.read_only_udm.intermediary	Digabungkan dari perantara jika tidak kosong.
	event.idm.read_only_udm.metadata.collected_timestamp	Dikonversi dari stage_time menggunakan kecocokan ISO8601 untuk kategori kube-audit.
	event.idm.read_only_udm.metadata.collected_timestamp	Dikonversi dari originalEventTimestamp menggunakan kecocokan ISO8601.
	event.idm.read_only_udm.metadata.collected_timestamp	Dikonversi dari risk_time menggunakan kecocokan ISO8601 atau yyyy-MM-dd HH:mm:ss.
	event.idm.read_only_udm.metadata.collected_timestamp	Dikonversi dari last_update_time menggunakan kecocokan ISO8601 atau yyyy-MM-dd HH:mm:ss.SSSZ.
	event.idm.read_only_udm.metadata.collected_timestamp	Dikonversi dari waktu menggunakan ISO8601, yyyy-MM-ddTHH:mm:ssZ, atau pola grok untuk penguraian tanggal.
	event.idm.read_only_udm.metadata.description	Nilai diambil dari properties.message jika tidak kosong.
	event.idm.read_only_udm.metadata.description	Nilai diambil dari properties.log.stage untuk kategori kube-audit.
	event.idm.read_only_udm.metadata.description	Nilai diambil dari properties.activity.
	event.idm.read_only_udm.metadata.event_type	Nilai diambil dari event_type jika tidak kosong; jika tidak, ditetapkan ke "GENERIC_EVENT".
	event.idm.read_only_udm.metadata.product_deployment_id	Nilai diambil dari tenantid_value jika additionaldetails.key == "TenantId".
	event.idm.read_only_udm.metadata.product_event_type	Nilai diambil dari kategori.
	event.idm.read_only_udm.metadata.product_log_id	Nilai diambil dari properties.event_id jika tidak kosong.
	event.idm.read_only_udm.metadata.product_log_id	Nilai diambil dari properties.log.auditID untuk kategori kube-audit.
	event.idm.read_only_udm.metadata.product_log_id	Nilai diambil dari properties.id.
	event.idm.read_only_udm.metadata.product_version	Nilai diambil dari properties.log.apiVersion untuk kategori kube-audit.
	event.idm.read_only_udm.metadata.vendor_name	Tetapkan ke "Microsoft".
	event.idm.read_only_udm.network.application_protocol	Nilai diambil dari protokol jika tidak kosong.
	event.idm.read_only_udm.network.http.method	Nilai yang diambil dari properties.CsMethod untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.network.http.referral_url	Nilai yang diambil dari properties.Referer untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.network.http.referral_url	Nilai diambil dari URI jika tidak kosong.
	event.idm.read_only_udm.network.http.response_code	Dikonversi dari responseStatus.code menjadi bilangan bulat untuk kategori kube-audit.
	event.idm.read_only_udm.network.http.response_code	Dikonversi dari properties.ScStatus ke bilangan bulat untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.network.http.response_code	Dikonversi dari properties.statusCode ke bilangan bulat.
	event.idm.read_only_udm.network.http.response_code	Dikonversi dari statusCode ke integer.
	event.idm.read_only_udm.network.http.user_agent	Nilai diambil dari user_agent jika tidak kosong.
	event.idm.read_only_udm.network.received_bytes	Nilai diambil dari properties.ScBytes untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.network.received_bytes	Nilai yang diambil dari properties.responseLength.
	event.idm.read_only_udm.network.sent_bytes	Nilai yang diambil dari properties.CsBytes untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.network.sent_bytes	Nilai diambil dari properties.requestLength.
	event.idm.read_only_udm.network.session_id	Nilai diambil dari properties.session_id.
	event.idm.read_only_udm.network.session_id	Nilai diambil dari record.properties.session_id.
	event.idm.read_only_udm.network.tls.version	Nilai diambil dari properties.tlsVersion jika tidak kosong.
	event.idm.read_only_udm.principal.application	Nilai diambil dari properties.application_name jika tidak kosong.
	event.idm.read_only_udm.principal.asset.asset_id	Nilai diambil dari prop_device_id jika tidak null.
	event.idm.read_only_udm.principal.asset.hardware	Digabungkan dari hardware jika tidak kosong.
	event.idm.read_only_udm.principal.asset.hostname	Nilai diambil dari properties.host_name jika tidak kosong.
	event.idm.read_only_udm.principal.asset.hostname	Nilai diambil dari properties.CsHost untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.hostname	Nilai diambil dari record.properties.CsHost untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip1 untuk AppServiceHTTPLogs.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari principal_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk kategori kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari record.properties.clientIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ip untuk rekaman kube-audit.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari src_ip.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.ipAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari callerIpAddress.
	event.idm.read_only_udm.principal.asset.ip	Digabungkan dari properties.client_ip.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.