收集 Cisco Catalyst SD-WAN Manager 記錄

本文說明如何使用 Google Cloud Storage，將 Cisco Catalyst SD-WAN Manager (舊稱 vManage) 記錄檔擷取至 Google Security Operations。Cisco Catalyst SD-WAN Manager 是集中式網路管理系統，可提供 SD-WAN 結構的能見度和控制權，讓管理員監控網路效能、設定政策，以及管理分散式企業網路的安全性。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• 已啟用 Cloud Storage API 的 GCP 專案
• 建立及管理 GCS bucket 的權限
• 管理 Google Cloud Storage 值區 IAM 政策的權限
• 建立 Cloud Run 服務、Pub/Sub 主題和 Cloud Scheduler 工作的權限
• Cisco Catalyst SD-WAN Manager 管理主控台的特殊存取權
• 具備 API 存取權限的 Cisco Catalyst SD-WAN Manager 使用者帳戶

建立 Google Cloud Storage bucket

1. 前往 Google Cloud 控制台。
2. 選取專案或建立新專案。
3. 在導覽選單中，依序前往「Cloud Storage」>「Bucket」。
4. 按一下「建立值區」。

5. 請提供下列設定詳細資料：

   設定	值
   為 bucket 命名	輸入全域不重複的名稱 (例如 cisco-sdwan-logs-bucket)
   位置類型	根據需求選擇 (區域、雙區域、多區域)
   位置	選取位置 (例如 us-central1)
   儲存空間級別	標準 (建議用於經常存取的記錄)
   存取控管	統一 (建議)
   保護工具	選用：啟用物件版本管理或資料保留政策

6. 點選「建立」。

收集 Cisco Catalyst SD-WAN Manager API 憑證

建立 API 使用者帳戶

1. 登入 Cisco Catalyst SD-WAN Manager 控制台。
2. 在選單中，依序前往「管理」>「管理使用者」。
3. 點選「Add User」。
4. 請提供下列設定詳細資料：
   • 使用者名稱：輸入 API 存取權的使用者名稱 (例如 chronicle-api)。
   • 密碼：輸入高強度密碼。
   • 確認密碼：再次輸入密碼。
   • 使用者群組：選取具備適當權限的使用者群組 (請參閱下一節)。
5. 按一下「新增」。

6. 複製下列詳細資料並存放在安全的地方：

   • 使用者名稱：Catalyst SD-WAN Manager 使用者名稱。
   • 密碼：Catalyst SD-WAN Manager 密碼。
   • Catalyst SD-WAN Manager 基準網址：Catalyst SD-WAN Manager 伺服器的基準網址 (例如 https://sdwan-manager.example.com:8443)。

設定使用者權限

API 使用者帳戶必須具備特定權限，才能存取稽核記錄、警報和事件。

1. 在 Cisco Catalyst SD-WAN Manager 控制台中，依序前往「Administration」>「Manage Users」>「User Groups」。
2. 選取指派給 API 使用者的使用者群組 (或按一下「新增使用者群組」建立新群組)。
3. 按一下 [編輯]。
4. 在「功能」部分，確認已啟用下列權限：
   • 稽核記錄：選取「讀取」權限。
   • 鬧鐘：選取「讀取」權限。
   • 活動：選取「讀取」權限。
5. 按一下「Update」。

驗證 API 存取權

請先測試憑證，再繼續進行整合：

1. 開啟終端機或命令提示字元。

2. 執行下列指令來測試驗證：

   # Replace with your actual credentials
   SDWAN_HOST="https://sdwan-manager.example.com:8443"
   SDWAN_USERNAME="chronicle-api"
   SDWAN_PASSWORD="your-password"
   
   # Test authentication using session-based login (returns JSESSIONID cookie)
   curl -c cookies.txt -X POST \
     "${SDWAN_HOST}/j_security_check" \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -d "j_username=${SDWAN_USERNAME}&j_password=${SDWAN_PASSWORD}"
   
   # Get CSRF token (X-XSRF-TOKEN)
   curl -b cookies.txt \
     "${SDWAN_HOST}/dataservice/client/token"
   

如果驗證成功，第二個指令會傳回 CSRF 權杖字串。

為 Cloud Run 函式建立服務帳戶

Cloud Run 函式需要具備 GCS bucket 寫入權限，且可由 Pub/Sub 叫用的服務帳戶。

建立服務帳戶

1. 在 GCP 控制台中，依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
2. 按一下「Create Service Account」(建立服務帳戶)。
3. 請提供下列設定詳細資料：
   • 服務帳戶名稱：輸入 cisco-sdwan-collector-sa。
   • 服務帳戶說明：輸入 Service account for Cloud Run function to collect Cisco Catalyst SD-WAN Manager logs。
4. 按一下「建立並繼續」。
5. 在「將專案存取權授予這個服務帳戶」部分，新增下列角色：
   1. 按一下「選擇角色」。
   2. 搜尋並選取「Storage 物件管理員」。
   3. 點選「+ 新增其他角色」。
   4. 搜尋並選取「Cloud Run Invoker」。
   5. 點選「+ 新增其他角色」。
   6. 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
6. 按一下「繼續」。
7. 按一下 [完成]。

這些角色適用於：

• Storage 物件管理員：將記錄檔寫入 GCS bucket，並管理狀態檔案
• Cloud Run 叫用者：允許 Pub/Sub 叫用函式
• Cloud Functions 叫用者：允許函式叫用

授予 GCS 值區的 IAM 權限

將 GCS bucket 的寫入權限授予服務帳戶：

1. 依序前往「Cloud Storage」>「Buckets」。
2. 點按 bucket 名稱。
3. 前往「權限」分頁標籤。
4. 按一下「授予存取權」。
5. 請提供下列設定詳細資料：
   • 新增主體：輸入服務帳戶電子郵件地址 (例如 cisco-sdwan-collector-sa@PROJECT_ID.iam.gserviceaccount.com)。
   • 指派角色：選取「Storage 物件管理員」。
6. 按一下 [儲存]。

建立 Pub/Sub 主題

建立 Pub/Sub 主題，Cloud Scheduler 會將訊息發布至該主題，而 Cloud Run 函式會訂閱該主題。

1. 在 GCP Console 中，前往「Pub/Sub」>「Topics」(主題)。
2. 按一下「建立主題」。
3. 請提供下列設定詳細資料：
   • 主題 ID：輸入 cisco-sdwan-trigger。
   • 其他設定保留預設值。
4. 點選「建立」。

建立 Cloud Run 函式來收集記錄

Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發，從 Cisco Catalyst SD-WAN Manager API 擷取記錄，並寫入 GCS。

1. 前往 GCP Console 的「Cloud Run」。
2. 按一下「Create service」(建立服務)。
3. 選取「函式」 (使用內嵌編輯器建立函式)。

4. 在「設定」部分，提供下列設定詳細資料：

   設定	值
   服務名稱	cisco-sdwan-log-collector
   區域	選取與 GCS bucket 相符的區域 (例如 us-central1)
   執行階段	選取 Python 3.12 以上版本

5. 在「Trigger (optional)」(觸發條件 (選用)) 專區：

   1. 按一下「+ 新增觸發條件」。
   2. 選取「Cloud Pub/Sub」。
   3. 在「選取 Cloud Pub/Sub 主題」中，選擇主題 (cisco-sdwan-trigger)。
   4. 按一下 [儲存]。

6. 在「Authentication」(驗證) 部分：

   1. 選取「需要驗證」。
   2. 檢查 Identity and Access Management (IAM)。

7. 向下捲動並展開「容器」、「網路」和「安全性」。

8. 前往「安全性」分頁：

   • 服務帳戶：選取服務帳戶 (cisco-sdwan-collector-sa)。

9. 前往「容器」分頁：

   1. 按一下「變數與密鑰」。
   2. 針對每個環境變數，按一下「+ 新增變數」：

   變數名稱	範例值
   GCS_BUCKET	cisco-sdwan-logs-bucket
   GCS_PREFIX	cisco-sdwan
   STATE_KEY	cisco-sdwan/state.json
   SDWAN_HOST	https://sdwan-manager.example.com:8443
   SDWAN_USERNAME	chronicle-api
   SDWAN_PASSWORD	your-sdwan-password
   LOOKBACK_HOURS	1

10. 在「變數與密鑰」分頁中向下捲動至「要求」：

    • 要求逾時：輸入 600 秒 (10 分鐘)。

11. 前往「容器」中的「設定」分頁：

    • 在「資源」部分：
      • 記憶體：選取 512 MiB 以上。
      • CPU：選取 1。

12. 在「修訂版本資源調度」部分：

    • 執行個體數量下限：輸入 0。
    • 「Maximum number of instances」(執行個體數量上限)：輸入 100 (或根據預期負載調整)。

13. 點選「建立」。

14. 等待服務建立完成 (1 到 2 分鐘)。

15. 服務建立完成後，系統會自動開啟內嵌程式碼編輯器。

新增函式程式碼

1. 在「進入點」欄位中輸入「main」。

2. 在內嵌程式碼編輯器中建立兩個檔案：

   • main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     import urllib.parse
     from datetime import datetime, timezone, timedelta
     import time
     
     # Disable SSL warnings for self-signed certificates (testing only)
     urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=10.0, read=60.0),
         cert_reqs='CERT_NONE',
         retries=urllib3.Retry(total=3, backoff_factor=1)
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     SDWAN_HOST = os.environ.get('SDWAN_HOST', '').rstrip('/')
     SDWAN_USERNAME = os.environ.get('SDWAN_USERNAME', '')
     SDWAN_PASSWORD = os.environ.get('SDWAN_PASSWORD', '')
     GCS_BUCKET = os.environ.get('GCS_BUCKET', '')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-sdwan')
     STATE_KEY = os.environ.get('STATE_KEY', 'cisco-sdwan/state.json')
     LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '1'))
     
     class CatalystSDWANAPI:
         """Client for Cisco Catalyst SD-WAN Manager API (formerly vManage)."""
     
         def __init__(self, host, username, password):
             self.host = host
             self.username = username
             self.password = password
             self.jsessionid = None
             self.xsrf_token = None
     
         def authenticate(self):
             """Authenticate using session-based login (j_security_check)."""
             try:
                 login_url = f"{self.host}/j_security_check"
                 login_data = urllib.parse.urlencode({
                     'j_username': self.username,
                     'j_password': self.password
                 }).encode('utf-8')
     
                 response = http.request(
                     'POST',
                     login_url,
                     body=login_data,
                     headers={'Content-Type': 'application/x-www-form-urlencoded'},
                 )
     
                 if b'<html>' in response.data or response.status != 200:
                     print(f"Authentication failed: HTTP {response.status}")
                     return False
     
                 # Extract JSESSIONID from Set-Cookie header
                 cookie_header = response.headers.get('Set-Cookie', '')
                 for part in cookie_header.split(','):
                     if 'JSESSIONID=' in part:
                         self.jsessionid = part.split('JSESSIONID=')[1].split(';')[0]
                         break
     
                 if not self.jsessionid:
                     print("Failed to extract JSESSIONID from response")
                     return False
     
                 # Get XSRF token
                 token_url = f"{self.host}/dataservice/client/token"
                 headers = {
                     'Content-Type': 'application/json',
                     'Cookie': f"JSESSIONID={self.jsessionid}"
                 }
                 response = http.request('GET', token_url, headers=headers)
     
                 if response.status == 200:
                     self.xsrf_token = response.data.decode('utf-8').strip()
                     print("Successfully authenticated with Catalyst SD-WAN Manager")
                     return True
                 else:
                     print(f"Failed to get XSRF token: HTTP {response.status}")
                     return False
     
             except Exception as e:
                 print(f"Authentication error: {e}")
                 return False
     
         def _get_headers(self):
             """Build headers for authenticated API requests."""
             return {
                 'Content-Type': 'application/json',
                 'Accept': 'application/json',
                 'Cookie': f"JSESSIONID={self.jsessionid}",
                 'X-XSRF-TOKEN': self.xsrf_token
             }
     
         def _build_query(self, last_epoch_ms=None):
             """Build a query payload with entry_time filter."""
             query = {
                 "query": {
                     "condition": "AND",
                     "rules": []
                 },
                 "size": 10000
             }
             if last_epoch_ms:
                 query["query"]["rules"].append({
                     "value": [str(last_epoch_ms)],
                     "field": "entry_time",
                     "type": "date",
                     "operator": "greater"
                 })
             else:
                 query["query"]["rules"].append({
                     "value": [str(LOOKBACK_HOURS)],
                     "field": "entry_time",
                     "type": "date",
                     "operator": "last_n_hours"
                 })
             return query
     
         def fetch_data(self, endpoint, last_epoch_ms=None):
             """Fetch data from a /dataservice endpoint using POST with query body."""
             url = f"{self.host}/dataservice/{endpoint}"
             headers = self._get_headers()
             query = self._build_query(last_epoch_ms)
     
             try:
                 response = http.request(
                     'POST',
                     url,
                     body=json.dumps(query),
                     headers=headers,
                 )
     
                 if response.status == 200:
                     return json.loads(response.data.decode('utf-8'))
                 else:
                     print(f"Failed to get {endpoint}: HTTP {response.status}")
                     return None
     
             except Exception as e:
                 print(f"Error fetching {endpoint}: {e}")
                 return None
     
     def load_state(bucket):
         """Load the last run timestamp (epoch ms) from GCS state file."""
         try:
             blob = bucket.blob(STATE_KEY)
             if blob.exists():
                 state_data = json.loads(blob.download_as_text())
                 return state_data.get('last_run_time')
         except Exception as e:
             print(f"Warning: Could not load state: {e}")
         return None
     
     def save_state(bucket, epoch_ms):
         """Save the current run timestamp (epoch ms) to GCS state file."""
         try:
             state_data = {
                 'last_run_time': epoch_ms,
                 'updated_at': datetime.now(timezone.utc).isoformat()
             }
             blob = bucket.blob(STATE_KEY)
             blob.upload_from_string(
                 json.dumps(state_data),
                 content_type='application/json'
             )
             print(f"Saved state: last_run_time={epoch_ms}")
         except Exception as e:
             print(f"Warning: Could not save state: {e}")
     
     def upload_to_gcs(bucket, records, log_type):
         """Upload log records to GCS as NDJSON."""
         if not records:
             print(f"No {log_type} records to upload")
             return 0
     
         dt = datetime.now(timezone.utc)
         object_key = (
             f"{GCS_PREFIX}/{log_type}/"
             f"{dt.strftime('%Y/%m/%d')}/"
             f"{log_type}_{dt.strftime('%Y%m%d_%H%M%S')}.ndjson"
         )
     
         ndjson = '\n'.join(
             json.dumps(record, ensure_ascii=False) for record in records
         ) + '\n'
     
         blob = bucket.blob(object_key)
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
         print(f"Uploaded {len(records)} {log_type} records to gs://{GCS_BUCKET}/{object_key}")
         return len(records)
     
     @functions_framework.cloud_event
     def main(cloud_event):
         """
         Cloud Run function triggered by Pub/Sub.
         Fetches audit logs, alarms, and events from Cisco Catalyst SD-WAN Manager
         API and writes them to GCS as NDJSON files.
     
         Args:
             cloud_event: CloudEvent object containing Pub/Sub message
         """
         print(f"Starting Cisco Catalyst SD-WAN Manager log collection at {datetime.now(timezone.utc).isoformat()}")
     
         if not all([SDWAN_HOST, SDWAN_USERNAME, SDWAN_PASSWORD, GCS_BUCKET]):
             print("Error: Missing required environment variables")
             return
     
         try:
             bucket = storage_client.bucket(GCS_BUCKET)
     
             # Load last run timestamp
             last_run_time = load_state(bucket)
             if last_run_time:
                 print(f"Resuming from last_run_time={last_run_time}")
             else:
                 print(f"No previous state found, collecting last {LOOKBACK_HOURS} hour(s) of logs")
     
             # Authenticate
             api = CatalystSDWANAPI(SDWAN_HOST, SDWAN_USERNAME, SDWAN_PASSWORD)
             if not api.authenticate():
                 print("Failed to authenticate with Catalyst SD-WAN Manager")
                 return
     
             # Current timestamp for state tracking (epoch milliseconds)
             current_time = int(datetime.now(timezone.utc).timestamp() * 1000)
     
             # Collect audit logs, alarms, and events
             endpoints = [
                 ('audit_logs', 'auditlog'),
                 ('alarms', 'alarms'),
                 ('events', 'events'),
             ]
     
             total_records = 0
             for log_type, endpoint in endpoints:
                 try:
                     print(f"Collecting {log_type} from /dataservice/{endpoint}...")
                     response_data = api.fetch_data(endpoint, last_run_time)
                     if response_data and 'data' in response_data:
                         count = upload_to_gcs(bucket, response_data['data'], log_type)
                         total_records += count
                     else:
                         print(f"No {log_type} data returned")
                 except Exception as e:
                     print(f"Error processing {log_type}: {e}")
                     continue
     
             # Update state
             save_state(bucket, current_time)
     
             print(f"Collection completed. Total records processed: {total_records}")
     
         except Exception as e:
             print(f"Function execution error: {e}")
             raise
     

   • requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

   。

3. 點選「部署」即可儲存並部署函式。

4. 等待部署作業完成 (2 到 3 分鐘)。

建立 Cloud Scheduler 工作

Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題，觸發 Cloud Run 函式。

1. 前往 GCP 主控台的「Cloud Scheduler」。
2. 點選「建立工作」。

3. 請提供下列設定詳細資料：

   設定	值
   名稱	cisco-sdwan-log-collector-hourly
   區域	選取與 Cloud Run 函式相同的區域
   頻率	0 * * * * (每小時整點)
   時區	選取時區 (建議使用世界標準時間)
   目標類型	Pub/Sub
   主題	選取主題 (cisco-sdwan-trigger)
   郵件內文	{} (空白 JSON 物件)

4. 點選「建立」。

排程頻率選項

根據記錄檔量和延遲時間要求選擇頻率：

頻率	Cron 運算式	用途
每 5 分鐘	*/5 * * * *	大量、低延遲
每 15 分鐘	*/15 * * * *	中等
每小時	0 * * * *	標準 (建議)
每 6 小時	0 */6 * * *	少量、批次處理
每日	0 0 * * *	歷來資料集合

測試整合項目

1. 在 Cloud Scheduler 控制台中找出您的工作。
2. 按一下「強制執行」即可手動觸發工作。
3. 稍等幾秒鐘。
4. 前往「Cloud Run」>「Services」。
5. 按一下函式名稱 (cisco-sdwan-log-collector)。
6. 按一下 [Logs] (記錄) 分頁標籤。

7. 確認函式是否已順利執行。請注意以下事項：

   Starting Cisco Catalyst SD-WAN Manager log collection at ...
   Successfully authenticated with Catalyst SD-WAN Manager
   Collecting audit_logs from /dataservice/auditlog...
   Uploaded N audit_logs records to gs://...
   Collection completed. Total records processed: N
   

8. 依序前往「Cloud Storage」>「Buckets」。

9. 點按 bucket 名稱。

10. 前往前置字元資料夾 (cisco-sdwan/)。

11. 確認是否已建立含有目前時間戳記的新 .ndjson 檔案。

如果記錄中顯示錯誤：

• HTTP 401：檢查環境變數中的 API 憑證
• HTTP 403：確認使用者帳戶是否具備稽核記錄、警報和事件的必要讀取權限
• 驗證失敗：確認 Catalyst SD-WAN Manager 基本網址包含正確的通訊埠 (預設為 8443)
• 缺少環境變數：檢查是否已設定所有必要變數

在 Google SecOps 中設定動態饋給，擷取 Cisco Catalyst SD-WAN Manager 記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Cisco Catalyst SD-WAN Manager logs)。
5. 選取「Google Cloud Storage V2」做為「來源類型」。
6. 選取「Cisco SD-WAN」做為「記錄類型」。

7. 按一下「取得服務帳戶」，系統會顯示專屬服務帳戶電子郵件地址，例如：

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. 複製這個電子郵件地址，以便在下一步中使用。

9. 點選「下一步」。

10. 指定下列輸入參數的值：

    • 儲存空間 bucket URL：輸入 GCS bucket URI，並加上前置路徑：

      gs://cisco-sdwan-logs-bucket/cisco-sdwan/
      

      • 取代：
        • cisco-sdwan-logs-bucket：您的 GCS bucket 名稱。
        • cisco-sdwan/：儲存記錄的選用前置字元/資料夾路徑 (如為根目錄，請留空)。

    • 來源刪除選項：根據偏好設定選取刪除選項：

      • 永不：移轉後一律不刪除任何檔案 (建議用於測試)。
      • 刪除已轉移的檔案：成功轉移檔案後刪除檔案。
      • 刪除已轉移的檔案和空白目錄：成功轉移後刪除檔案和空白目錄。

    • 檔案存在時間上限：包含在過去天數內修改的檔案 (預設為 180 天)。

    • 資產命名空間：資產命名空間。

    • 擷取標籤：要套用至這個動態饋給事件的標籤。

11. 點選「下一步」。

12. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

將 IAM 權限授予 Google SecOps 服務帳戶

Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。

1. 依序前往「Cloud Storage」>「Buckets」。
2. 點按 bucket 名稱。
3. 前往「權限」分頁標籤。
4. 按一下「授予存取權」。
5. 請提供下列設定詳細資料：
   • 新增主體：貼上 Google SecOps 服務帳戶電子郵件地址。
   • 指派角色：選取「Storage 物件檢視者」。

6. 按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
Tunnel_id_label	additional.fields	已合併
additional_tag	additional.fields	已合併
count_label	additional.fields	已合併
dst_vrf_label	additional.fields	已合併
logfeature_label	additional.fields	已合併
logmodule_label	additional.fields	已合併
meta_sequenceId_label	additional.fields	已合併
msg_label	additional.fields	已合併
qfp_label	additional.fields	已合併
result_label	additional.fields	已合併
rsa_sha256_label	additional.fields	已合併
rsa_type_label	additional.fields	已合併
sequence_label	additional.fields	已合併
src_vrf_label	additional.fields	已合併
tenant_vpn_id_label	additional.fields	已合併
thread_label	additional.fields	已合併
tos_label	additional.fields	已合併
unknown_tenant_label	additional.fields	已合併
vlan_id_label	additional.fields	已合併
vpn_id_label	additional.fields	已合併
description_1	extensions.auth.type	已對應：(?i)closed → AUTHTYPE_UNSPECIFIED
msg1	extensions.auth.type	已對應：authenticated → AUTHTYPE_UNSPECIFIED
msgs	extensions.auth.type	已對應：(?i)success → AUTHTYPE_UNSPECIFIED
prod_type	extensions.auth.type	已對應：(?i)LOGOUT → AUTHTYPE_UNSPECIFIED
host_name	intermediary.asset.hostname	直接對應
host_name	intermediary.hostname	直接對應
inter_host	intermediary.hostname	直接對應
logmsg	metadata.description	直接對應
message_value	metadata.description	直接對應
msgs	metadata.description	直接對應
date_time	metadata.event_timestamp	剖析為 ISO8601
time	metadata.event_timestamp	剖析為 ISO8601
time_t	metadata.event_timestamp	剖析為 ISO8601
timestamp	metadata.event_timestamp	剖析為 ISO8601
description_1	metadata.event_type	已對應：(?i)closed → USER_LOGOUT
has_principal	metadata.event_type	已對應：true → NETWORK_CONNECTION、true → STATUS_UPDATE
has_principal_user	metadata.event_type	已對應：true → USER_UNCATEGORIZED
msg1	metadata.event_type	已對應：authenticated → USER_LOGIN
msgs	metadata.event_type	已對應：(?i)success → USER_LOGIN
prod_type	metadata.event_type	已對應：(?i)LOGOUT → USER_LOGOUT
prod_type	metadata.product_event_type	直接對應
log_id	metadata.product_log_id	直接對應
logid	metadata.product_log_id	直接對應
application_protocol	network.application_protocol	已對應：(?i)SSH → SSH
message	network.application_protocol	對應：(?i)SSH → SSH、(?i)netconf → NETCONF、(?i)dhcp → DHCP
type1	network.dhcp.type	已對應：DHCPDISCOVER → DISCOVER
message	network.ip_protocol	已對應：(?i)tcp → TCP
network_protocol	network.ip_protocol	直接對應
bytes	network.sent_bytes	直接對應
session_id	network.session_id	直接對應
network_host	network.tls.cipher	直接對應
hostname	principal.asset.hostname	直接對應
host	principal.asset.ip	已合併
initiator_ip	principal.asset.ip	已合併
ip	principal.asset.ip	已合併
ipaddress	principal.asset.ip	已合併
logusersrcip	principal.asset.ip	已合併
peer_ip	principal.asset.ip	已合併
principal_ip	principal.asset.ip	已合併
principal_ip1	principal.asset.ip	已合併
proxy_host	principal.asset.ip	已合併
src_ip	principal.asset.ip	已合併
system_ip	principal.asset.ip	已合併
addr	principal.hostname	直接對應
hostname	principal.hostname	直接對應
host	principal.ip	已合併
initiator_ip	principal.ip	已合併
ip	principal.ip	已合併
ipaddress	principal.ip	已合併
logusersrcip	principal.ip	已合併
peer_ip	principal.ip	已合併
principal_ip	principal.ip	已合併
principal_ip1	principal.ip	已合併
proxy_host	principal.ip	已合併
src_ip	principal.ip	已合併
system_ip	principal.ip	已合併
initiator_port	principal.port	直接對應
port	principal.port	直接對應
ports	principal.port	直接對應
principal_port	principal.port	直接對應
principal_port1	principal.port	直接對應
src_port	principal.port	直接對應
process_path	principal.process.file.full_path	直接對應
parent_pid	principal.process.parent_process.pid	直接對應
pid	principal.process.pid	直接對應
process_label	principal.resource.attribute.labels	已合併
process_name_label	principal.resource.attribute.labels	已合併
loguser	principal.user.userid	直接對應
user1	principal.user.userid	直接對應
user_id	principal.user.userid	直接對應
username	principal.user.userid	直接對應
action	security_result.action	已合併
message	security_result.action	已對應：(?i)(succeeded/accounting start/open/occurred/update/successfully/success) → `acti...
classification	security_result.category_details	已合併
msg1	security_result.description	直接對應
Malware_label	security_result.detection_fields	已合併
direction_label	security_result.detection_fields	已合併
egress_interface_label	security_result.detection_fields	已合併
ingress_interface_label	security_result.detection_fields	已合併
log_prefix_label	security_result.detection_fields	已合併
log_reason_label	security_result.detection_fields	已合併
packet_label	security_result.detection_fields	已合併
policy_label	security_result.detection_fields	已合併
port_label	security_result.detection_fields	已合併
protocol_label	security_result.detection_fields	已合併
proxy_port_label	security_result.detection_fields	已合併
sent_bytes_1_label	security_result.detection_fields	已合併
sent_bytes_2_label	security_result.detection_fields	已合併
tty_label	security_result.detection_fields	已合併
type_label	security_result.detection_fields	已合併
udp_packets_label	security_result.detection_fields	已合併
priority	security_result.severity	已對應：1 → LOW
description_1	security_result.summary	直接對應
dst_ip	target.asset.ip	已合併
ipadres	target.asset.ip	已合併
logdeviceid	target.asset.ip	已合併
responder_ip	target.asset.ip	已合併
target_ip	target.asset.ip	已合併
target_ip1	target.asset.ip	已合併
filename	target.file.names	已合併
dst_ip	target.ip	已合併
ipadres	target.ip	已合併
logdeviceid	target.ip	已合併
responder_ip	target.ip	已合併
target_ip	target.ip	已合併
target_ip1	target.ip	已合併
dst_port	target.port	直接對應
prts	target.port	直接對應
responder_port	target.port	直接對應
target_port	target.port	直接對應
target_port1	target.port	直接對應
filetype	target.process.file.mime_type	直接對應
parent_identifier_label	target.resource.attribute.labels	已合併
specific_identifer_label	target.resource.attribute.labels	已合併
target_name	target.resource.name	直接對應
instance_id	target.resource.product_object_id	直接對應
target_username	target.user.userid	直接對應
user	target.user.userid	直接對應
不適用	extensions.auth.type	常數：AUTHTYPE_UNSPECIFIED
不適用	metadata.event_type	常數：USER_LOGIN
不適用	network.application_protocol	常數：SSH
不適用	network.dhcp.type	常數：DISCOVER
不適用	network.ip_protocol	常數：TCP
不適用	security_result.severity	常數：LOW

變更記錄

查看這個剖析器的變更記錄

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。