Mengumpulkan log Cisco Application Centric Infrastructure (ACI)
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara menyerap log Cisco Application Centric Infrastructure (ACI) ke Google Security Operations. Parser pertama-tama mencoba memproses log Cisco ACI yang masuk sebagai pesan syslog menggunakan pola Grok. Jika penguraian syslog gagal, syslog akan menganggap pesan dalam format JSON dan menguraikannya dengan tepat. Terakhir, kolom yang diekstrak dipetakan ke model data terpadu (UDM).
Integrasi ini mendukung dua metode:
- Opsi 1: Format Syslog melalui agen Bindplane
- Opsi 2: Format JSON melalui AWS S3 menggunakan APIC REST API
Setiap opsi bersifat mandiri dan dapat diterapkan secara independen berdasarkan persyaratan infrastruktur dan preferensi format log Anda.
Opsi 1: Syslog melalui agen Bindplane
Opsi ini mengonfigurasi fabric Cisco ACI untuk mengirim pesan syslog ke agen Bindplane, yang meneruskannya ke Chronicle untuk dianalisis.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Host Windows 2016 atau yang lebih baru atau Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol Cisco APIC
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Cari file
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_ACI' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
- Ganti
<customer_id>dengan ID pelanggan yang sebenarnya. - Ganti
/path/to/ingestion-authentication-file.jsondengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi penerusan Syslog di Cisco ACI
Mengonfigurasi Kontrak Pengelolaan Out-of-Band
- Login ke konsol Cisco APIC.
- Buka Tenants > mgmt > Contracts > Filters.
- Klik Buat Filter.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan
syslog-udp-514. - Nama Entri: Masukkan
syslog. - EtherType: Pilih IP.
- IP Protocol: Pilih UDP.
- Rentang Port Tujuan Dari: Masukkan
514. - Rentang Port Tujuan Ke: Masukkan
514.
- Nama: Masukkan
- Klik Kirim.
Buat Kontrak Pengelolaan
- Buka Tenants > mgmt > Contracts > Standard.
- Klik Buat Kontrak.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan
mgmt-syslog-contract. - Cakupan: Pilih Konteks.
- Nama: Masukkan
- Klik Kirim.
- Perluas kontrak, lalu klik Subjek.
- Klik Buat Subjek Kontrak.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan
syslog-subject. - Terapkan Kedua Arah: Centang opsi ini.
- Nama: Masukkan
- Klik Kirim.
- Luaskan subjek dan klik Filter.
- Klik Create Filter Binding.
- Pilih filter
syslog-udp-514yang dibuat sebelumnya. - Klik Kirim.
Mengonfigurasi Grup Tujuan Syslog
- Buka Admin > Pengumpul Data Eksternal > Tujuan Pemantauan > Syslog.
- Klik kanan Syslog, lalu pilih Create Syslog Monitoring Destination Group.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan
Chronicle-Syslog-Group. - Admin State: Pilih Enabled.
- Format: Pilih aci.
- Nama: Masukkan
- Klik Berikutnya.
- Dalam dialog Create Syslog Monitoring Destination:
- Nama: Masukkan
Chronicle-BindPlane. - Host: Masukkan alamat IP server agen Bindplane Anda.
- Port: Masukkan
514. - Admin State: Pilih Enabled.
- Tingkat keparahan: Pilih informasi (untuk merekam log mendetail).
- Nama: Masukkan
- Klik Kirim.
Mengonfigurasi Kebijakan Pemantauan
Kebijakan Pemantauan Fabric
- Buka Fabric > Fabric Policies > Policies > Monitoring > Common Policy.
- Perluas Callhome/Smart Callhome/SNMP/Syslog/TACACS.
- Klik kanan Syslog, lalu pilih Create Syslog Source.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan
Chronicle-Fabric-Syslog. - Log Audit: Centang untuk menyertakan peristiwa audit.
- Peristiwa: Centang untuk menyertakan peristiwa sistem.
- Kesalahan: Centang untuk menyertakan peristiwa kesalahan.
- Log Sesi: Centang untuk menyertakan log sesi.
- Grup Tujuan: Pilih
Chronicle-Syslog-Group.
- Nama: Masukkan
- Klik Kirim.
Kebijakan Pemantauan Akses
- Buka Fabric > Access Policies > Policies > Monitoring > Default Policy.
- Perluas Callhome/Smart Callhome/SNMP/Syslog.
- Klik kanan Syslog, lalu pilih Create Syslog Source.
- Berikan detail konfigurasi berikut:
- Nama: Masukkan
Chronicle-Access-Syslog. - Log Audit: Centang untuk menyertakan peristiwa audit.
- Peristiwa: Centang untuk menyertakan peristiwa sistem.
- Kesalahan: Centang untuk menyertakan peristiwa kesalahan.
- Log Sesi: Centang untuk menyertakan log sesi.
- Grup Tujuan: Pilih
Chronicle-Syslog-Group.
- Nama: Masukkan
- Klik Kirim.
Mengonfigurasi Kebijakan Pesan Syslog Sistem
- Buka Fabric > Fabric Policies > Policies > Monitoring > Common Policy.
- Luaskan Syslog Messages Policies.
- Klik default.
- Di bagian Filter Fasilitas:
- Fasilitas: Pilih default.
- Tingkat Keparahan Minimum: Ubah menjadi informasi.
- Klik Kirim.
Opsi 2: JSON melalui AWS S3
Opsi ini menggunakan APIC REST API untuk mengumpulkan peristiwa, kesalahan, dan log audit berformat JSON dari fabric Cisco ACI dan menyimpannya di AWS S3 untuk penyerapan SecOps.
Sebelum memulai
- Instance Google SecOps.
- Akses istimewa ke konsol Cisco APIC.
- Akses istimewa ke AWS (S3, IAM, Lambda, EventBridge).
Kumpulkan prasyarat Cisco ACI APIC (ID, kunci API, ID organisasi, token)
- Login ke konsol Cisco APIC menggunakan HTTPS.
- Buka Admin > AAA (di APIC 6.0+) atau Admin > Authentication > AAA (di rilis yang lebih lama).
- Catatan: Jalur menu AAA berubah mulai dari APIC 6.0(1).
- Buat atau gunakan pengguna lokal yang sudah ada dengan hak istimewa yang sesuai.
- Salin dan simpan detail berikut di lokasi yang aman:
- Nama Pengguna APIC: Pengguna lokal dengan akses baca ke data pemantauan
- Sandi APIC: Sandi pengguna
- URL APIC: URL HTTPS APIC Anda (misalnya,
https://apic.example.com)
Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
- Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya,
cisco-aci-logs). - Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: Tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.
- Klik Done.
- Pilih tab Permissions.
- Klik Tambahkan izin di bagian Kebijakan izin.
- Pilih Tambahkan izin.
- Pilih Lampirkan kebijakan secara langsung.
- Cari kebijakan AmazonS3FullAccess.
- Pilih kebijakan.
- Klik Berikutnya.
- Klik Add permissions.
Mengonfigurasi kebijakan dan peran IAM untuk upload S3
- Di konsol AWS, buka IAM > Policies.
- Klik Buat kebijakan > tab JSON.
Masukkan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::cisco-aci-logs/*" }, { "Sid": "AllowGetStateObject", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::cisco-aci-logs/cisco-aci-events/state.json" } ] }- Ganti
cisco-aci-logsjika Anda memasukkan nama bucket yang berbeda.
- Ganti
Klik Berikutnya > Buat kebijakan.
Buka IAM > Roles > Create role > AWS service > Lambda.
Lampirkan kebijakan yang baru dibuat dan kebijakan terkelola AWSLambdaBasicExecutionRole.
Beri nama peran
cisco-aci-lambda-role, lalu klik Buat peran.
Buat fungsi Lambda
- Di AWS Console, buka Lambda > Functions > Create function.
- Klik Buat dari awal.
Berikan detail konfigurasi berikut:
- Nama:
cisco-aci-events-collector - Runtime: Python 3.13
- Arsitektur: x86_64
- Peran eksekusi:
cisco-aci-lambda-role
- Nama:
Setelah fungsi dibuat, buka tab Code, hapus stub, lalu masukkan kode berikut (
cisco-aci-events-collector.py):import json import boto3 import urllib3 import base64 from datetime import datetime, timedelta import os import logging # Configure logging logger = logging.getLogger() logger.setLevel(logging.INFO) # AWS S3 client and HTTP pool manager s3_client = boto3.client('s3') http = urllib3.PoolManager() def lambda_handler(event, context): """ AWS Lambda handler to fetch Cisco ACI events, faults, and audit logs and store them in S3 """ try: # Get environment variables s3_bucket = os.environ['S3_BUCKET'] s3_prefix = os.environ['S3_PREFIX'] state_key = os.environ['STATE_KEY'] apic_url = os.environ['APIC_URL'] apic_username = os.environ['APIC_USERNAME'] apic_password = os.environ['APIC_PASSWORD'] # Optional parameters page_size = int(os.environ.get('PAGE_SIZE', '100')) max_pages = int(os.environ.get('MAX_PAGES', '10')) logger.info(f"Starting Cisco ACI data collection for bucket: {s3_bucket}") # Get last run timestamp from state file last_timestamp = get_last_timestamp(s3_bucket, state_key) if not last_timestamp: last_timestamp = (datetime.utcnow() - timedelta(hours=1)).isoformat() + 'Z' # Authenticate to APIC session_token = authenticate_apic(apic_url, apic_username, apic_password) headers = { 'Cookie': f'APIC-cookie={session_token}', 'Accept': 'application/json', 'Content-Type': 'application/json' } # Data types to collect data_types = ['faultInst', 'eventRecord', 'aaaModLR'] all_collected_data = [] for data_type in data_types: logger.info(f"Collecting {data_type} data") collected_data = collect_aci_data(apic_url, headers, data_type, last_timestamp, page_size, max_pages) # Tag each record with its type for record in collected_data: record['_data_type'] = data_type all_collected_data.extend(collected_data) logger.info(f"Collected {len(collected_data)} {data_type} records") logger.info(f"Total records collected: {len(all_collected_data)}") # Store data in S3 if any were collected if all_collected_data: timestamp_str = datetime.utcnow().strftime('%Y%m%d_%H%M%S') s3_key = f"{s3_prefix}cisco_aci_events_{timestamp_str}.ndjson" # Convert to NDJSON format (one JSON object per line) ndjson_content = '\n'.join(json.dumps(record) for record in all_collected_data) # Upload to S3 s3_client.put_object( Bucket=s3_bucket, Key=s3_key, Body=ndjson_content.encode('utf-8'), ContentType='application/x-ndjson' ) logger.info(f"Uploaded {len(all_collected_data)} records to s3://{s3_bucket}/{s3_key}") # Update state file with latest timestamp from collected data latest_timestamp = get_latest_timestamp_from_records(all_collected_data) if not latest_timestamp: latest_timestamp = datetime.utcnow().isoformat() + 'Z' update_state(s3_bucket, state_key, latest_timestamp) return { 'statusCode': 200, 'body': json.dumps({ 'message': 'Success', 'total_records_collected': len(all_collected_data), 'data_types_collected': data_types }) } except Exception as e: logger.error(f"Error in lambda_handler: {str(e)}") return { 'statusCode': 500, 'body': json.dumps({ 'error': str(e) }) } def authenticate_apic(apic_url, username, password): """ Authenticate to APIC and return session token """ login_url = f"{apic_url}/api/aaaLogin.json" login_data = { "aaaUser": { "attributes": { "name": username, "pwd": password } } } response = http.request( 'POST', login_url, body=json.dumps(login_data).encode('utf-8'), headers={'Content-Type': 'application/json'}, timeout=30 ) if response.status != 200: raise RuntimeError(f"APIC authentication failed: {response.status} {response.data[:256]!r}") response_data = json.loads(response.data.decode('utf-8')) token = response_data['imdata'][0]['aaaLogin']['attributes']['token'] logger.info("Successfully authenticated to APIC") return token def collect_aci_data(apic_url, headers, data_type, last_timestamp, page_size, max_pages): """ Collect data from APIC REST API with pagination """ all_data = [] page = 0 while page < max_pages: # Build API URL with pagination and time filters api_url = f"{apic_url}/api/class/{data_type}.json" params = [ f'page-size={page_size}', f'page={page}', f'order-by={data_type}.created|asc' ] # Add time filter for all data types to prevent duplicates time_attr = 'created' if last_timestamp: params.append(f'query-target-filter=gt({data_type}.{time_attr},"{last_timestamp}")') full_url = f"{api_url}?{'&'.join(params)}" logger.info(f"Fetching {data_type} page {page} from APIC") # Make API request response = http.request('GET', full_url, headers=headers, timeout=60) if response.status != 200: logger.error(f"API request failed: {response.status} {response.data[:256]!r}") break data = json.loads(response.data.decode('utf-8')) records = data.get('imdata', []) if not records: logger.info(f"No more {data_type} records found") break # Extract the actual data from APIC format extracted_records = [] for record in records: if data_type in record: extracted_records.append(record[data_type]) all_data.extend(extracted_records) page += 1 # If we got less than page_size records, we've reached the end if len(records) < page_size: break return all_data def get_last_timestamp(bucket, state_key): """ Get the last run timestamp from S3 state file """ try: response = s3_client.get_object(Bucket=bucket, Key=state_key) state_data = json.loads(response['Body'].read().decode('utf-8')) return state_data.get('last_timestamp') except s3_client.exceptions.NoSuchKey: logger.info("No state file found, starting from 1 hour ago") return None except Exception as e: logger.warning(f"Error reading state file: {str(e)}") return None def get_latest_timestamp_from_records(records): """ Get the latest timestamp from collected records to prevent missing events """ if not records: return None latest = None latest_time = None for record in records: try: # Handle both direct attributes and nested structure attrs = record.get('attributes', record) created = attrs.get('created') modTs = attrs.get('modTs') # Fallback for some object types timestamp = created or modTs if timestamp: if latest_time is None or timestamp > latest_time: latest_time = timestamp latest = record except Exception as e: logger.debug(f"Error parsing timestamp from record: {e}") continue return latest_time def update_state(bucket, state_key, timestamp): """ Update the state file with the current timestamp """ try: state_data = { 'last_timestamp': timestamp, 'updated_at': datetime.utcnow().isoformat() + 'Z' } s3_client.put_object( Bucket=bucket, Key=state_key, Body=json.dumps(state_data).encode('utf-8'), ContentType='application/json' ) logger.info(f"Updated state file with timestamp: {timestamp}") except Exception as e: logger.error(f"Error updating state file: {str(e)}")Buka Configuration > Environment variables.
Klik Edit > Add new environment variable.
Masukkan variabel lingkungan berikut yang disediakan, lalu ganti dengan nilai Anda.
- S3_BUCKET:
cisco-aci-logs - S3_PREFIX:
cisco-aci-events/ - STATE_KEY:
cisco-aci-events/state.json - APIC_URL:
https://apic.example.com - APIC_USERNAME:
<your-apic-username> - APIC_PASSWORD:
<your-apic-password> - PAGE_SIZE:
100(opsional, mengontrol ukuran penomoran halaman) - MAX_PAGES:
10(opsional, membatasi total halaman yang diambil per proses)
- S3_BUCKET:
Setelah fungsi dibuat, tetap buka halamannya (atau buka Lambda > Functions > cisco-aci-events-collector).
Pilih tab Configuration
Di panel General configuration, klik Edit.
Ubah Waktu Tunggu menjadi 5 menit (300 detik), lalu klik Simpan.
Membuat jadwal EventBridge
- Buka Amazon EventBridge > Scheduler > Create schedule.
- Berikan detail konfigurasi berikut:
- Jadwal berulang: Tarif (
15 minutes). - Target: fungsi Lambda Anda
cisco-aci-events-collector. - Name:
cisco-aci-events-collector-15m.
- Jadwal berulang: Tarif (
- Klik Buat jadwal.
Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps
- Buka Konsol AWS > IAM > Pengguna > Tambahkan pengguna.
- Klik Add users.
- Berikan detail konfigurasi berikut:
- Pengguna: Masukkan
secops-reader. - Jenis akses: Pilih Kunci akses – Akses terprogram.
- Pengguna: Masukkan
- Klik Buat pengguna.
- Lampirkan kebijakan baca minimal (kustom): Pengguna > secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan.
Di editor JSON, masukkan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::cisco-aci-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::cisco-aci-logs" } ] }Tetapkan nama ke
secops-reader-policy.Buka Buat kebijakan > cari/pilih > Berikutnya > Tambahkan izin.
Buka Kredensial keamanan > Kunci akses > Buat kunci akses.
Download CSV (nilai ini dimasukkan ke dalam feed).
Mengonfigurasi feed di Google SecOps untuk menyerap log Cisco ACI
- Buka Setelan SIEM > Feed.
- Klik + Tambahkan Feed Baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Cisco ACI JSON logs). - Pilih Amazon S3 V2 sebagai Jenis sumber.
- Pilih Cisco Application Centric Infrastructure sebagai Log type.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- URI S3:
s3://cisco-aci-logs/cisco-aci-events/ - Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
- Usia File Maksimum: Menyertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
- Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
- URI S3:
- Klik Berikutnya.
- Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| @timestamp | read_only_udm.metadata.event_timestamp | Nilai diambil dari kolom log mentah '@timestamp' dan diuraikan sebagai stempel waktu. |
| aci_tag | read_only_udm.metadata.product_log_id | Nilai diambil dari kolom log mentah 'aci_tag'. |
| cisco_timestamp | - | Tidak dipetakan. |
| DIP | read_only_udm.target.ip | Nilai diambil dari kolom log mentah 'DIP'. |
| DPort | read_only_udm.target.port | Nilai diambil dari kolom log mentah 'DPort' dan dikonversi menjadi bilangan bulat. |
| deskripsi | read_only_udm.security_result.description | Nilai diambil dari kolom log mentah 'description'. |
| fault_cause | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom log mentah 'fault_cause'. Kunci ditetapkan ke 'Fault Cause'. |
| hostname | read_only_udm.principal.hostname | Nilai diambil dari kolom log mentah 'hostname'. |
| lifecycle_state | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom log mentah 'lifecycle_state'. |
| log.source.address | - | Tidak dipetakan. |
| logstash.collect.host | - | Tidak dipetakan. |
| logstash.collect.timestamp | read_only_udm.metadata.collected_timestamp | Nilai diambil dari kolom log mentah 'logstash.collect.timestamp' dan diuraikan sebagai stempel waktu. |
| logstash.ingest.host | read_only_udm.intermediary.hostname | Nilai diambil dari kolom log mentah 'logstash.ingest.host'. |
| logstash.irm_environment | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom log mentah 'logstash.irm_environment'. Kuncinya ditetapkan ke 'IRM_Environment'. |
| logstash.irm_region | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom log mentah 'logstash.irm_region'. Kuncinya ditetapkan ke 'IRM_Region'. |
| logstash.irm_site | read_only_udm.additional.fields.value.string_value | Nilai diambil dari kolom log mentah 'logstash.irm_site'. Kunci ditetapkan ke 'IRM_Site'. |
| logstash.process.host | read_only_udm.intermediary.hostname | Nilai diambil dari kolom log mentah 'logstash.process.host'. |
| pesan | - | Tidak dipetakan. |
| message_class | - | Tidak dipetakan. |
| message_code | - | Tidak dipetakan. |
| message_content | - | Tidak dipetakan. |
| message_dn | - | Tidak dipetakan. |
| message_type | read_only_udm.metadata.product_event_type | Nilai diambil dari kolom log mentah 'message_type' setelah menghapus tanda kurung siku. |
| node_link | read_only_udm.principal.process.file.full_path | Nilai diambil dari kolom log mentah 'node_link'. |
| PktLen | read_only_udm.network.received_bytes | Nilai diambil dari kolom log mentah 'PktLen' dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan. |
| program | - | Tidak dipetakan. |
| Proto | read_only_udm.network.ip_protocol | Nilai diambil dari kolom log mentah 'Proto', dikonversi menjadi bilangan bulat, dan dipetakan ke nama protokol IP yang sesuai (misalnya, 6 -> TCP). |
| SIP | read_only_udm.principal.ip | Nilai diambil dari kolom log mentah 'SIP'. |
| SPort | read_only_udm.principal.port | Nilai diambil dari kolom log mentah 'SPort' dan dikonversi menjadi bilangan bulat. |
| syslog_facility | - | Tidak dipetakan. |
| syslog_facility_code | - | Tidak dipetakan. |
| syslog_host | read_only_udm.principal.ip, read_only_udm.observer.ip | Nilai diambil dari kolom log mentah 'syslog_host'. |
| syslog_prog | - | Tidak dipetakan. |
| syslog_severity | read_only_udm.security_result.severity_details | Nilai diambil dari kolom log mentah 'syslog_severity'. |
| syslog_severity_code | read_only_udm.security_result.severity | Nilai diambil dari kolom log mentah 'syslog_severity_code' dan dipetakan ke tingkat keparahan yang sesuai: 5, 6, 7 -> INFORMATIONAL; 3, 4 -> MEDIUM; 0, 1, 2 -> HIGH. |
| syslog5424_pri | - | Tidak dipetakan. |
| Vlan-Id | read_only_udm.principal.resource.id | Nilai diambil dari kolom log mentah 'Vlan-Id'. |
| - | read_only_udm.metadata.event_type | Logika: Jika 'SIP' atau 'hostname' ada dan 'Proto' ada, tetapkan ke 'NETWORK_CONNECTION'. Jika 'SIP', 'hostname', atau 'syslog_host' ada, tetapkan ke 'STATUS_UPDATE'. Jika tidak, setel ke 'GENERIC_EVENT'. |
| - | read_only_udm.metadata.log_type | Logika: Setel ke 'CISCO_ACI'. |
| - | read_only_udm.metadata.vendor_name | Logika: Disetel ke 'Cisco'. |
| - | read_only_udm.metadata.product_name | Logika: Setel ke 'ACI'. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.