Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Blue Coat ProxySG-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Blue Coat ProxySG-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Blue Coat ProxySG (jetzt Broadcom/Symantec) ist eine Webproxy-Appliance, die Zugriffslogs für Webtraffic generiert, einschließlich HTTP-Anfragen, Kategorien, Authentifizierung und Sicherheitsereignissen. Der Parser normalisiert Felder und ordnet sie dem Unified Data Model (UDM) zu.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und der Blue Coat ProxySG-Appliance
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Administratorzugriff auf die Blue Coat ProxySG-Verwaltungskonsole

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Authentifizierungsdatei für die Aufnahme herunterladen
Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bluecoat_webproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BLUECOAT_WEBPROXY
        raw_log_field: body

service:
    pipelines:
        logs/bluecoat_webproxy_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/bluecoat_webproxy

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration:
- listen_address: IP-Adresse und Port, auf die gewartet werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Port 514 ist der Standard-Syslog-Port (erfordert Root unter Linux; verwenden Sie 1514 für Nicht-Root).
Exporter-Konfiguration:
- creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Kunden-ID, die aus der Google SecOps Console kopiert wurde
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Logs auf Fehler prüfen:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Logs auf Fehler prüfen:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog in Blue Coat ProxySG konfigurieren

Melden Sie sich in der Blue Coat ProxySG-Verwaltungskonsole an.
Rufen Sie Wartung > Ereignisprotokollierung > Syslog auf.
Klicken Sie auf Neu.
Geben Sie die folgenden Konfigurationsdetails an:
- Loghost: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Klicken Sie auf OK.
Klicken Sie das Kästchen Syslog aktivieren an.
Wählen Sie Pegel aus.
Aktivieren Sie das Kästchen Verbose (Ausführlich).
Klicken Sie auf Übernehmen.

Benutzerdefinierten Client in Blue Coat ProxySG konfigurieren

Gehen Sie zu Konfiguration > Zugriffsprotokollierung> Protokolle> Upload-Client.
Wählen Sie in der Liste „Log“ Streaming aus.
Wählen Sie in der Liste „Clienttyp“ die Option Benutzerdefinierter Client aus.
Klicken Sie auf Einstellungen.
Wählen Sie in der Liste Einstellungen den primären oder alternativen benutzerdefinierten Server aus, den Sie konfigurieren möchten.
Geben Sie die folgenden Konfigurationsdetails an:
- Host: Geben Sie den Hostnamen oder die IP-Adresse des Uploadziels ein.
- Port: Auf 514 festlegen.
- Sichere Verbindungen (SSL) verwenden: Auf Aus eingestellt.
- Klicken Sie auf OK.
- Klicken Sie auf Übernehmen, um zum Tab Upload Client zurückzukehren.
Führen Sie für jedes Logformat, das Sie für Haupt-, IM- und Streaming-Logs verwenden möchten, die folgenden Schritte aus:
- Wählen Sie das Log aus.
- Weisen Sie den Upload-Client als Benutzerdefinierten Client zu.
- Wählen Sie <No Encryption> und <No Signing> aus.
- Speichern Sie die Protokolldatei als Textdatei.
- Klicken Sie auf Upload Schedule (Upload-Zeitplan) > Upload Type (Upload-Typ).
- Wählen Sie für Zugriffslog hochladen die Option Kontinuierlich aus, um die Zugriffslogs zu streamen.
- Klicken Sie auf OK.
Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`@timestamp`	`metadata.event_timestamp`	Der Zeitstempel des Ereignisses, wie er von der Blue Coat-Appliance aufgezeichnet wurde. Aus den JSON-Daten geparst.
`application-name`	`target.application`	Der Name der Anwendung, die mit dem Netzwerkverkehr verknüpft ist. Aus den JSON-Daten geparst.
`c-ip`	`principal.asset.ipprincipal.ip`	IP-Adresse des Clients. Aus den JSON-Daten geparst.
`c_ip`	`principal.ipprincipal.asset.ip`	IP-Adresse des Clients. Aus verschiedenen Logformaten geparst.
`c_ip_host`	`principal.hostnameprincipal.asset.hostname`	Client-Hostname, falls verfügbar. Aus den JSON-Daten geparst.
`cs-auth-group`	principal_user_group_identifiers	Gruppe für die Clientauthentifizierung. Aus den JSON-Daten geparst.
`cs-bytes`	`network.sent_bytes`	Anzahl der vom Client gesendeten Bytes. Aus den JSON-Daten geparst.
`cs-categories`	`security_result.category_details`	Kategorien, die der Webanfrage von der Blue Coat-Appliance zugewiesen wurden. Aus den JSON-Daten geparst.
`cs-host`	target_hostname	Der vom Client angeforderte Hostname. Aus den JSON-Daten geparst.
`cs-icap-error-details`	`security_result.detection_fields`	ICAP-Fehlerdetails von der Clientseite. Aus den JSON-Daten geparst, Schlüssel ist „cs-icap-error-details“.
`cs-icap-status`	`security_result.description`	ICAP-Status von der Clientseite. Aus den JSON-Daten geparst.
`cs-method`	`network.http.method`	In der Anfrage verwendete HTTP-Methode. Aus den JSON-Daten geparst.
`cs-threat-risk`	`security_result.risk_score`	Von der Blue Coat-Appliance zugewiesener Risikowert für Bedrohungen. Aus den JSON-Daten geparst.
`cs-uri-extension`	cs_uri_extension	Die Erweiterung des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-path`	_uri_path	Pfad des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-port`	cs_uri_port	Der Port des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-query`	_uri_query	Der Abfragestring des angeforderten URI. Aus den JSON-Daten geparst.
`cs-uri-scheme`	_uri_scheme	Das Schema der angeforderten URI (z.B. „http“, „https“). Aus den JSON-Daten geparst.
`cs-userdn`	principal_user_userid	Nutzername des Kunden. Aus den JSON-Daten geparst.
`cs-version`	cs_version	Vom Client verwendete HTTP-Version. Aus den JSON-Daten geparst.
`cs(Referer)`	`network.http.referral_url`	Verweis-URL Aus den JSON-Daten geparst.
`cs(User-Agent)`	`network.http.user_agent`	User-Agent-String. Aus den JSON-Daten geparst.
`cs(X-Requested-With)`	`security_result.detection_fields`	Wert des X-Requested-With-Headers. Aus den JSON-Daten geparst, der Schlüssel ist „cs-X-Requested-With“.
`cs_auth_group`	principal_user_group_identifiers	Gruppe für die Clientauthentifizierung. Aus verschiedenen Logformaten geparst.
`cs_bytes`	`network.sent_bytes`	Anzahl der vom Client gesendeten Bytes. Aus verschiedenen Logformaten geparst.
`cs_categories`	`security_result.category_details`	Kategorien, die der Webanfrage zugewiesen sind. Aus verschiedenen Logformaten geparst.
`cs_host`	target_hostname	Der vom Client angeforderte Hostname. Aus verschiedenen Logformaten geparst.
`cs_method`	`network.http.method`	In der Anfrage verwendete HTTP-Methode. Aus verschiedenen Logformaten geparst.
`cs_referer`	`network.http.referral_url`	Verweis-URL Aus verschiedenen Logformaten geparst.
`cs_threat_risk`	`security_result.risk_score`	Von der Blue Coat-Appliance zugewiesener Risikowert für Bedrohungen. Aus dem KV-Logformat geparst.
`cs_uri`	`target.url`	Vollständiger angeforderter URI. Aus dem KV-Logformat geparst.
`cs_uri_extension`	cs_uri_extension	Die Erweiterung des angeforderten URI. Aus dem KV-Logformat geparst.
`cs_uri_path`	_uri_path	Pfad des angeforderten URI. Aus verschiedenen Logformaten geparst.
`cs_uri_port`	target_port	Der Port des angeforderten URI. Aus verschiedenen Logformaten geparst.
`cs_uri_query`	_uri_query	Der Abfragestring des angeforderten URI. Aus verschiedenen Logformaten geparst.
`cs_uri_scheme`	_uri_scheme	Das Schema der angeforderten URI (z.B. „http“, „https“). Aus verschiedenen Logformaten geparst.
`cs_user`	principal_user_userid	Nutzername des Kunden. Aus dem allgemeinen Logformat geparst.
`cs_user_agent`	`network.http.user_agent`	User-Agent-String. Aus verschiedenen Logformaten geparst.
`cs_username`	principal_user_userid	Nutzername des Kunden. Aus verschiedenen Logformaten geparst.
`cs_x_forwarded_for`	`_intermediary.ip`	X-Forwarded-For-Headerwert. Aus dem allgemeinen Logformat geparst.
`deviceHostname`	`_intermediary.hostname`	Hostname der Blue Coat-Appliance. Aus dem KV-Logformat geparst.
`dst`	ip_target	IP-Adresse des Ziels. Aus dem KV-Logformat geparst.
`dst_ip`	ip_target	IP-Adresse des Ziels. Aus dem SSL-Logformat geparst.
`dst_user`	`target.user.userid`	Nutzer-ID des Zielkontos. Geparst aus dem Proxy-Reverse-Logformat.
`dstport`	target_port	Zielport. Aus dem KV-Logformat geparst.
`dstport`	`target.port`	Zielport. Aus dem SSL-Logformat geparst.
`exception-id`	_block_reason	Ausnahme-ID, die auf eine blockierte Anfrage hinweist. Aus dem KV-Logformat geparst.
`filter-category`	_categories	Kategorie des Filters, der das Ereignis ausgelöst hat. Aus dem KV-Logformat geparst.
`filter-result`	_policy_action	Ergebnis des auf die Anfrage angewendeten Filters. Aus dem KV-Logformat geparst.
`hostname`	`principal.hostnameprincipal.asset.hostname`	Hostname des Geräts, das das Log generiert. Aus den SSL- und allgemeinen Logformaten geparst.
`isolation-url`	isolation-url	URL im Zusammenhang mit der Isolation, falls zutreffend. Aus den JSON-Daten geparst.
`ma-detonated`	durch Minen ausgelöst	Status der Malware-Detonation. Aus den JSON-Daten geparst.
`page-views`	Seitenaufrufe	Anzahl der Seitenaufrufe. Aus den JSON-Daten geparst.
`r-ip`	ip_target	Remote-IP-Adresse. Aus den JSON-Daten geparst.
`r-supplier-country`	r-supplier-country	Land des Remote-Lieferanten. Aus den JSON-Daten geparst.
`r_dns`	target_hostname	DNS-Name des Remote-Servers. Aus den JSON-Daten geparst.
`r_ip`	ip_target	Remote-IP-Adresse. Aus verschiedenen Logformaten geparst.
`r_port`	target_port	Remote-Port. Aus den JSON-Daten geparst.
`risk-groups`	`security_result.detection_fields`	Risikogruppen, die mit dem Ereignis verknüpft sind. Aus den JSON-Daten geparst, Schlüssel ist „risk-groups“.
`rs-icap-error-details`	`security_result.detection_fields`	ICAP-Fehlerdetails von der Remote-Serverseite. Aus den JSON-Daten geparst, Schlüssel ist „rs-icap-error-details“.
`rs-icap-status`	rs-icap-status	ICAP-Status vom Remote-Server. Aus den JSON-Daten geparst.
`rs(Content-Type)`	`target.file.mime_type`	Der Content-Type der Antwort vom Remote-Server. Aus dem KV-Logformat geparst.
`rs_content_type`	`target.file.mime_type`	Der Content-Type der Antwort vom Remote-Server. Aus verschiedenen Logformaten geparst.
`rs_server`	rs_server	Informationen zum Remote-Server. Aus den JSON-Daten geparst.
`rs_status`	`_network.http.response_code`	Antwortstatuscode vom Remote-Server. Aus den JSON-Daten geparst.
`r_supplier_country`	`intermediary.location.country_or_region`	Land des Remote-Lieferanten. Aus dem allgemeinen Logformat geparst.
`r_supplier_ip`	`intermediary.ip`	IP-Adresse des Remote-Anbieters. Aus dem allgemeinen Logformat geparst.
`s-action`	`_metadata.product_event_type`	Vom Proxy ergriffene Maßnahme. Aus dem KV-Logformat geparst.
`s-ip`	`_intermediary.ip`	IP-Adresse des Servers. Aus dem KV-Logformat geparst.
`s-source-ip`	`_intermediary.ip`	Quell-IP-Adresse des Servers. Aus den JSON-Daten geparst.
`s_action`	`_metadata.product_event_type`	Vom Proxy ergriffene Maßnahme. Aus verschiedenen Logformaten geparst.
`s_ip`	`target.iptarget.asset.ip`	IP-Adresse des Servers. Aus verschiedenen Logformaten geparst.
`s_ip_host`	`_intermediary.hostname`	Server-Hostname. Aus den JSON-Daten geparst.
`s-supplier-country`	`intermediary.location.country_or_region`	Land des Anbieterservers. Aus den JSON-Daten geparst.
`s-supplier-failures`	`security_result.detection_fields`	Fehler bei Lieferanten. Aus den JSON-Daten geparst, Schlüssel ist „s-supplier-failures“.
`s-supplier-ip`	`_intermediary.ip`	IP-Adresse des Lieferantenservers. Aus den JSON-Daten geparst.
`s_supplier_ip`	`intermediary.ip`	IP-Adresse des Lieferantenservers. Aus den JSON-Daten geparst.
`s_supplier_name`	`_intermediary.hostname`	Name des Servers des Anbieters. Aus dem allgemeinen Logformat geparst.
`sc-bytes`	`network.received_bytes`	Anzahl der vom Server empfangenen Bytes. Aus dem KV-Logformat geparst.
`sc-filter-result`	_policy_action	Ergebnisse serverseitig filtern. Aus dem KV-Logformat geparst.
`sc-status`	`_network.http.response_code`	Vom Server zurückgegebener Statuscode. Aus dem KV-Logformat geparst.
`sc_bytes`	`network.received_bytes`	Anzahl der vom Server empfangenen Bytes. Aus verschiedenen Logformaten geparst.
`sc_connection`	sc_connection	Informationen zur Serververbindung. Aus dem allgemeinen Logformat geparst.
`sc_filter_result`	_policy_action	Ergebnisse serverseitig filtern. Aus verschiedenen Logformaten geparst.
`sc_status`	`_network.http.response_code`	Vom Server zurückgegebener Statuscode. Aus verschiedenen Logformaten geparst.
`search_query`	`target.resource.attribute.labels`	Suchanfrage, sofern in der URL vorhanden. Aus target_url extrahiert, Schlüssel ist „search_query“.
`session_id`	`network.session_id`	Sitzungs-ID. Geparst aus dem Proxy-Reverse-Logformat.
`src`	ip_principal	IP-Adresse der Quelle. Aus dem KV-Logformat geparst.
`src_hostname`	`principal.hostnameprincipal.asset.hostname`	Hostname der Quelle. Aus dem allgemeinen Logformat geparst.
`src_ip`	ip_principal	IP-Adresse der Quelle. Aus dem SSL-Logformat geparst.
`srcport`	principal_port	Quellport. Aus dem KV-Logformat geparst.
`src_port`	`principal.port`	Quellport. Aus dem SSL-Logformat geparst.
`s_source_port`	`intermediary.port`	Quellport des Servers. Aus dem allgemeinen Logformat geparst.
`summary`	`security_result.summary`	Zusammenfassung des Sicherheitsergebnisses. Aus den Logformaten „Proxy Reverse“ und „SSL“ geparst.
`syslogtimestamp`	syslogtimestamp	Syslog-Zeitstempel. Aus dem KV-Logformat geparst.
`target_application`	`target.application`	Anwendung, auf die sich die Anfrage bezieht. Abgeleitet von „x_bluecoat_application_name“ oder „application-name“.
`target_hostname`	`target.hostnametarget.asset.hostname`	Ziel-Hostname. Abgeleitet von r_dns,cs-host oder anderen Feldern, je nach Logformat.
`target_port`	`target.port`	Zielport. Abgeleitet vonr_port,cs_uri_port, ordstport, je nach Protokollformat.
`target_sip`	`target.iptarget.asset.ip`	IP-Adresse des Zielservers. Aus dem allgemeinen Logformat geparst.
`target_url`	`target.url`	Ziel-URL. Abgeleitet von target_hostname,_uri_path, _uri_query oder cs_uri.
`time-taken`	`network.session_duration`	Dauer der Sitzung oder Anfrage. Aus dem KV-Logformat geparst und in Sekunden und Nanosekunden konvertiert.
`time_taken`	`network.session_duration`	Dauer der Sitzung oder Anfrage. Aus verschiedenen Logformaten geparst und in Sekunden und Nanosekunden umgerechnet.
`tls_version`	`network.tls.version`	Die in der Verbindung verwendete TLS-Version. Aus dem SSL-Logformat geparst.
`upload-source`	upload-source	Quelle des Uploads. Aus den JSON-Daten geparst.
`username`	principal_user_userid	Nutzername. Aus dem KV-Logformat geparst.
`verdict`	`security_result.detection_fields`	Ergebnis der Sicherheitsanalyse. Der Schlüssel „verdict“ wird aus den JSON-Daten geparst.
`wf-env`	wf_env	Umgebung des Webfilterdienstes. Aus den JSON-Daten geparst.
`wf_id`	`security_result.detection_fields`	Webfilter-ID. Der Schlüssel wird aus den JSON-Daten geparst und lautet „wf_id“.
`wrong_cs_host`	`principal.hostnameprincipal.asset.hostname`	Der Client-Hostname wurde falsch geparst und wird als Haupt-Hostname verwendet, wenn es sich nicht um eine IP-Adresse handelt. Aus dem allgemeinen Logformat geparst.
`x-bluecoat-access-type`	x-bluecoat-access-type	Art des Zugriffs. Aus den JSON-Daten geparst.
`x-bluecoat-appliance-name`	`intermediary.application`	Name der Blue Coat-Appliance. Aus den JSON-Daten geparst.
`x-bluecoat-application-name`	target_application	Name der Anwendung. Aus den JSON-Daten geparst.
`x-bluecoat-application-operation`	x_bluecoat_application_operation	Anwendungsbetrieb Aus den JSON-Daten geparst.
`x-bluecoat-location-id`	x-bluecoat-location-id	Standort-ID. Aus den JSON-Daten geparst.
`x-bluecoat-location-name`	x-bluecoat-location-name	Name des Standorts. Aus den JSON-Daten geparst.
`x-bluecoat-placeholder`	`security_result.detection_fields`	Platzhalterinformationen. Der Schlüssel wurde aus den JSON-Daten geparst und lautet „x-bluecoat-placeholder“.
`x-bluecoat-reference-id`	`security_result.detection_fields`	Referenz-ID. Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-bluecoat-reference-id“.
`x-bluecoat-request-tenant-id`	x-bluecoat-request-tenant-id	Mandanten-ID der Anfrage. Aus den JSON-Daten geparst.
`x-bluecoat-transaction-uuid`	`metadata.product_log_id`	Transaktions-UUID. Aus den JSON-Daten geparst.
`x-client-agent-sw`	`software.name`	Client-Agent-Software. Aus den JSON-Daten geparst und in „principal.asset.software“ zusammengeführt.
`x-client-agent-type`	`principal.application`	Client-Agent-Typ. Aus den JSON-Daten geparst.
`x-client-device-id`	`principal.resource.product_object_id`	Clientgeräte-ID. Aus den JSON-Daten geparst.
`x-client-device-name`	x-client-device-name	Name des Clientgeräts. Aus den JSON-Daten geparst.
`x-client-device-type`	x-client-device-type	Typ des Clientgeräts. Aus den JSON-Daten geparst.
`x-client-os`	`principal.asset.platform_software.platform`	Clientbetriebssystem. Aus den JSON-Daten geparst. Wenn „Windows“ enthalten ist, wird die Plattform auf WINDOWS festgelegt.
`x-client-security-posture-details`	x-client-security-posture-details	Details zum Sicherheitsstatus des Clients. Aus den JSON-Daten geparst.
`x-client-security-posture-risk-score`	`security_result.detection_fields`	Risikobewertung für die Sicherheitslage von Clients. Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-client-security-posture-risk-score“.
`x-cloud-rs`	`security_result.detection_fields`	Informationen zum Cloud-bezogenen Remote-Server. Der Schlüssel „x-cloud-rs“ wurde aus den JSON-Daten geparst.
`x-cs-certificate-subject`	x_cs_certificate_subject	Zertifikatsubjekt von der Clientseite. Aus den JSON-Daten geparst.
`x-cs-client-ip-country`	x-cs-client-ip-country	Land der Client-IP-Adresse. Aus den JSON-Daten geparst.
`x-cs-connection-negotiated-cipher`	`network.tls.cipher`	Vom Client ausgehandelte Chiffre. Aus den JSON-Daten geparst.
`x-cs-connection-negotiated-cipher-size`	`security_result.detection_fields`	Die mit dem Client ausgehandelte Chiffriergröße. Aus den JSON-Daten geparst, der Schlüssel ist „x-cs-connection-negotiated-cipher-size“.
`x-cs-connection-negotiated-ssl-version`	`network.tls.version_protocol`	Die ausgehandelte SSL-Version auf Clientseite. Aus den JSON-Daten geparst.
`x-cs-ocsp-error`	`security_result.detection_fields`	OCSP-Fehler auf der Clientseite. Aus den JSON-Daten geparst, der Schlüssel ist „x-cs-ocsp-error“.
`x-cs(referer)-uri-categories`	x-cs(referer)-uri-categories	Referrer-URI-Kategorien von der Clientseite. Aus den JSON-Daten geparst.
`x-data-leak-detected`	`security_result.detection_fields`	Status der Erkennung von Datenlecks. Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-data-leak-detected“.
`x-exception-id`	x_exception_id	Ausnahme-ID. Aus den JSON-Daten geparst.
`x-http-connect-host`	x-http-connect-host	HTTP-Verbindungshost. Aus den JSON-Daten geparst.
`x-http-connect-port`	x-http-connect-port	HTTP-Verbindungsport. Aus den JSON-Daten geparst.
`x-icap-reqmod-header(x-icap-metadata)`	x_icap_reqmod_header	ICAP-Anfrageänderungsheader mit Metadaten. Aus den JSON-Daten geparst.
`x-icap-respmod-header(x-icap-metadata)`	x_icap_respmod_header	ICAP-Antwortänderungsheader mit Metadaten. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname`	`network.tls.client.server_name`	Hostname des Zertifikats auf dem Remote-Server. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname-categories`	x_rs_certificate_hostname_category	Kategorien für Zertifikathostnamen auf der Seite des Remote-Servers. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname-category`	x_rs_certificate_hostname_category	Kategorie des Zertifikathostnamens auf der Seite des Remote-Servers. Aus den JSON-Daten geparst.
`x-rs-certificate-hostname-threat-risk`	`security_result.detection_fields`	Das Bedrohungsrisiko des Zertifikathostnamens auf der Seite des Remote-Servers. Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-rs-certificate-hostname-threat-risk“.
`x-rs-certificate-observed-errors`	x_rs_certificate_observed_errors	Auf der Seite des Remote-Servers wurden Zertifikatfehler beobachtet. Aus den JSON-Daten geparst.
`x-rs-certificate-validate-status`	`network.tls.server.certificate.subject`	Status der Zertifikatsvalidierung auf dem Remote-Server. Aus den JSON-Daten geparst.
`x-rs-connection-negotiated-cipher`	x_rs_connection_negotiated_cipher	Verschlüsselungsverfahren, das vom Remote-Server ausgehandelt wurde. Aus den JSON-Daten geparst.
`x-rs-connection-negotiated-cipher-size`	`security_result.detection_fields`	Ausgehandelte Chiffriergröße auf der Seite des Remote-Servers. Aus den JSON-Daten geparst, der Schlüssel ist „x-rs-connection-negotiated-cipher-size“.
`x-rs-connection-negotiated-cipher-strength`	x_rs_connection_negotiated_cipher_strength	Die ausgehandelte Verschlüsselungsstärke auf der Seite des Remoteservers. Aus den JSON-Daten geparst.
`x-rs-connection-negotiated-ssl-version`	x_rs_connection_negotiated_ssl_version	Die ausgehandelte SSL-Version auf der Seite des Remote-Servers. Aus den JSON-Daten geparst.
`x-rs-ocsp-error`	x_rs_ocsp_error	OCSP-Fehler auf der Remote-Serverseite. Aus den JSON-Daten geparst.
`x-sc-connection-issuer-keyring`	`security_result.detection_fields`	Schlüsselbund des Verbindungsherausgebers. Aus den JSON-Daten geparst, Schlüssel ist „x-sc-connection-issuer-keyring“.
`x-sc-connection-issuer-keyring-alias`	x-sc-connection-issuer-keyring-alias	Alias des Schlüsselbunds des Ausstellers der Verbindung. Aus den JSON-Daten geparst.
`x-sr-vpop-country`	`principal.location.country_or_region`	VPOP-Land. Aus den JSON-Daten geparst.
`x-sr-vpop-country-code`	`principal.location.country_or_region`	Ländercode des VPOP. Aus den JSON-Daten geparst.
`x-sr-vpop-ip`	`principal.ipprincipal.asset.ip`	IP-Adresse des VPOP. Aus den JSON-Daten geparst.
`x-symc-dei-app`	x-symc-dei-app	Symantec DEI-Anwendung. Aus den JSON-Daten geparst.
`x-symc-dei-via`	`security_result.detection_fields`	Symantec DEI via. Aus den JSON-Daten geparst, Schlüssel ist „x-symc-dei-via“.
`x-tenant-id`	`security_result.detection_fields`	Mandanten-ID Der Schlüssel wird aus den JSON-Daten geparst und lautet „x-tenant-id“.
`x-timestamp-unix`	x-timestamp-unix	UNIX-Zeitstempel. Aus den JSON-Daten geparst.
`x_bluecoat_application_name`	target_application	Name der Anwendung. Aus verschiedenen Logformaten geparst.
`x_bluecoat_application_operation`	x_bluecoat_application_operation	Anwendungsbetrieb Aus verschiedenen Logformaten geparst.
`x_bluecoat_transaction_uuid`	`metadata.product_log_id`	Transaktions-UUID. Aus verschiedenen Logformaten geparst.
`x_cs_certificate_subject`	x_cs_certificate_subject	Betreff des clientseitigen Zertifikats. Aus dem allgemeinen Logformat geparst.
`x_cs_client_effective_ip`	ip_principal	Effektive IP-Adresse des Clients. Aus dem allgemeinen Logformat geparst.
`x_cs_connection_negotiated_cipher`	`network.tls.cipher`	Clientseitig ausgehandelte Chiffre. Aus dem allgemeinen Logformat geparst.
`x_cs_connection_negotiated_ssl_version`	`network.tls.version_protocol`	Die clientseitig ausgehandelte SSL-Version. Aus dem allgemeinen Logformat geparst.
`x_exception_id`	_block_reason	Ausnahme-ID. Aus verschiedenen Logformaten geparst.
`x_icap_reqmod_header`	x_icap_reqmod_header	ICAP-Anfrageänderungsheader. Aus dem allgemeinen Logformat geparst.
`x_icap_respmod_header`	x_icap_respmod_header	ICAP-Antwortänderungsheader. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_hostname`	`network.tls.client.server_name`	Hostname des Zertifikats des Remote-Servers. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_hostname_category`	x_rs_certificate_hostname_category	Hostnamekategorie des Zertifikats des Remote-Servers. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_observed_errors`	x_rs_certificate_observed_errors	Auf dem Zertifikat des Remote-Servers sind Fehler aufgetreten. Aus dem allgemeinen Logformat geparst.
`x_rs_certificate_validate_status`	`network.tls.server.certificate.subject`	Status der Validierung des Zertifikats des Remote-Servers. Aus verschiedenen Logformaten geparst.
`x_rs_connection_negotiated_cipher_strength`	x_rs_connection_negotiated_cipher_strength	Verschlüsselungsstärke, die vom Remote-Server ausgehandelt wurde. Aus dem allgemeinen Logformat geparst.
`x_rs_connection_negotiated_ssl_version`	x_rs_connection_negotiated_ssl_version	Die vom Remote-Server ausgehandelte SSL-Version. Aus dem allgemeinen Logformat geparst.
`x_virus_id`	`security_result.detection_fields`	Virus-ID Wird aus verschiedenen Logformaten geparst, der Schlüssel ist „x-virus-id“.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten