Coletar registros do Citrix NetScaler

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Citrix NetScaler no Google Security Operations usando o Bindplane.

O analisador extrai campos do syslog do Citrix NetScaler e registros formatados em chave-valor. Ele usa grok e/ou kv para analisar a mensagem de registro e mapeia esses valores para o modelo de dados unificado (UDM). Ele também define valores de metadados padrão para a origem e o tipo do evento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado à interface da Web do Citrix NetScaler

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CITRIX_NETSCALER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parâmetros de configuração

Substitua os seguintes marcadores de posição:
- Configuração do receptor:
  - udplog: use udplog para syslog UDP ou tcplog para syslog TCP.
  - 0.0.0.0: endereço IP para escutar (0.0.0.0 para escutar em todas as interfaces)
  - 514: número da porta a ser detectada (porta syslog padrão).
- Configuração do exportador:
  - creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID: ID do cliente da seção "Receber ID do cliente"
  - endpoint: URL do endpoint regional:
    - EUA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Consulte a lista completa em Endpoints regionais.
  - log_type: tipo de registro exatamente como aparece no Chronicle (CITRIX_NETSCALER)

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

sudo systemctl restart observiq-otel-collector

Verifique se o serviço está em execução:

  sudo systemctl status observiq-otel-collector

Verifique se há erros nos registros:

  sudo journalctl -u observiq-otel-collector -f

Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o encaminhamento de syslog no Citrix NetScaler

Faça login na interface da Web do Citrix NetScaler (NSIP).
Acesse Sistema > Auditoria > Syslog.
Clique na guia Servidores.
Clique em Adicionar para criar um novo servidor syslog.
Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo, por exemplo, Google-SecOps-Bindplane.
- IP do servidor: insira o endereço IP do host do agente do Bindplane.
- Porta: insira 514.
- Nível de registro: selecione todos os níveis aplicáveis:
  - ALL (recomendado para registros abrangentes)
- Instalação: selecione LOCAL0 (ou a instalação de sua preferência).
- Formato da data: selecione MMDDYYYY.
- Fuso horário: selecione GMT_TIME (UTC recomendado).
- Registro em log de TCP: selecione NENHUM (para UDP).
- Facilidade de registro: selecione LOCAL0.
Clique em Criar.
Acesse a guia Políticas.
Clique em Adicionar para criar uma política de auditoria do syslog.
Informe os seguintes detalhes de configuração:
- Nome: insira um nome descritivo, por exemplo, Google-SecOps-Policy.
- Servidor: selecione o servidor syslog criado anteriormente.
Clique em Criar.
Vincule a política globalmente:
1. Acesse Sistema > Auditoria.
2. Clique em Associações globais em Políticas de auditoria do Syslog.
3. Clique em Adicionar vinculação.
4. Selecione a política criada anteriormente.
5. Clique em Bind.
Verifique se as mensagens syslog estão sendo enviadas conferindo os registros do agente Bindplane.

Como alternativa, configure pela CLI:

add audit syslogAction Google-SecOps-Bindplane BINDPLANE_IP -serverPort 514 -logLevel ALL -dateFormat MMDDYYYY -timeZone GMT_TIME
add audit syslogPolicy Google-SecOps-Policy ns_true Google-SecOps-Bindplane
bind audit syslogGlobal -policyName Google-SecOps-Policy -priority 100

Substitua BINDPLANE_IP pelo endereço IP do host do agente do Bindplane.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM
`aaa_info_flags`	`additional.fields`
`aaa_trans_id`	`security_result.detection.fields`
`aaad_flags`	`additional.fields`
`aaad_resp`	`additional.fields`
`aaaFlags`	`additional.fields`
`aaaFlags2`	`additional.fields`
`act`	`securtiy_result.action_details`, `security_result.action`
`action`	`security_result.action`
`ADM_User`	`additional.fields`
`allowed_interface`	`security_result.detection.fields`
`applicationname`	`target.application`
`auth_type`	`additional.fields`
`authActionLen`	`security_result.detection_fields`
`AuthAgent`	`additional.fields`
`AuthDuration`	`network.session_duration.seconds`
`authnvs`	`additional.fields`
`authorizationStatus`	`security_result.detection.fields`
`AuthStage`	`additional.fields`
`Authtype`	`additional.fields`
`C`	`principal.location.country_or_region`
`caseId`	`additional.fields`
`cfg_limit`	`additional.fields`
`cgp_tag`	`sec_result.detection_fields`
`channel_id_X`	`additional.fields`
`channel_id_X_val`	`additional.fields`
`channel_update_begin`	`additional.fields`
`channel_update_end`	`additional.fields`
`cipher_suite`	`network.tls.cipher`
`client_fip`	`target.ip` `target.asset.ip`
`client_fport`	`target.port`
`client_ip`	`principal.ip`, `principal.asset.ip`
`client_port`	`principal.port`
`Client_security_expression`	`additional.fields`
`client_type`	`additional.fields`
`client_version`	`network.tls.version`
`client.nat.ip`	`principal.nat_ip`, `principal.asset.nat_ip`
`clientside_jitter`	`additional.fields`
`clientside_packet_retransmits`	`additional.fields`
`clientside_rtt`	`additional.fields`
`clientside_rxbytes`	`network.sent_bytes`
`clientside_txbytes`	`network.received_bytes`
`ClientVersion`	`network.tls.version_protocol`
`CN`	`principal.resource.attribute.labels`
`cn1`	`additional.fields`
`cn2`	`additional.fields`
`code`	`additional.fields`
`commandExecutionStatus`	`security_result.action_details`
`Compression_ratio_recv`	`additional.fields`
`Compression_ratio_send`	`additional.fields`
`configurationCmd`	`security_result.detection.fields`
`connectionId`	`network.session_id`
`copied_nsb`	`sec_result.detection_fields`
`core_id`	`additional.fields`
`core_refmask`	`additional.fields`
`cs1`	`additional.fields`
`cs2`	`additional.fields`
`cs4`	`additional.fields`
`cs5`	`additional.fields`
`cs6`	`additional.fields`
`CSappid`	`additional.fields`
`CSAppname`	-
`csg_flags`	`additional.fields`
`ctx_flags`	`additional.fields`
`cur_attempts`	`additional.fields`
`CurfactorPolname`	`additional.fields`
`customername`	`additional.fields`
`days_for_pwd_exp`	`additional.fields`
`days_for_pwd_exp_STR`	`additional.fields`
`delinkTime`	`additional.fields`
`Denied_by_policy`	`security_result.rule_name`
`desc`	`metadata.description`
`destination.ip`	`target.ip`, `target.asset.ip`
`destination.port`	`target.resource.attribute.labels`
`device_event_class_id`	`metadata.product_event_type`
`device_version`	`metadata.product_version`
`Deviceid`	`target.resource.product_object_id`
`Devicetype`	`additional.fields`
`dht_delete_status`	`additional.fields`
`diagnostic_info`	`additional.fields`
`digestSignatureAlgorithm`	`security_result.detection_fields`
`dns_additional_count`	`additional.fields`
`dns_answer_count`	`additional.fields`
`dns_authority_count`	`additional.fields`
`dns_flags`	`additional.fields`
`dns_flags_raw`	`network.dns.recursion_desired`
`dns_flags_raw`	`network.dns.recursion_available`
`dns_id`	`network.dns.id`
`dns_question_count`	`additional.fields`
`dns_question_name`	`network.dns.question.name`
`domain`	`security_result.detection.fields`, `additional.fields`
`domain`	`target.administrative_domain`
`ecs_version`	`additional.fields`
`encrypt_status`	`security_result.detection_fields`
`end_time`	`additional.fields`
`End_time`	`additional.fields`
`entityName`	`target.resource.name`
`Error Code`	`additional.fields`
`event_id`	`metadata.product_log_id`
`event_name`	`metadata.product_event_type`
`event_type`	`sec_result.summary`
`expired_refmask`	`additional.fields`
`factor`	`security_result.detection.fields`
`flags`	`additional.fields`
`flags2`	`additional.fields`
`flags3`	`additional.fields`
`flags4`	`additional.fields`
`func`	`security_result.detection_fields`
`geolocation`	`location.country_region`
`Group(s)`	`target.user.group_identifiers`
`Group(s)`	`target.user.group.identifiers`
`handshake_time`	`network.session_duration.seconds`
`HandshakeTime`	`additional.fields`
`host_hostname`	`principal.hostname`
`host_ip`	`principal.ip` `principal.asset.ip`
`host.name`	`target.hostname`, `target.asset.hostname`
`hostname`	`intermediary.hostname`, `intermediary.asset.hostname`
`hostname`	`target.hostname`, `target.asset.hostname`
`hostname_1`	`target.hostname`, `target.asset.hostname`
`http_method`	`network.http.method`
`Http_resources_accessed`	`security_result.detection.fields`
`http_uri`	`target.url`
`HTTPS`	`network.application_protocol`
`ica_conn_owner_refmask`	`sec_result.detection_fields`
`ica_rtt`	`additional.fields`
`ica_uuid`	`network.session_id`
`ICAUUID`	`network.session_id`
`id`	`metadata.id`
`init_icamode_homepage`	`additional.fields`
`inter_hostname`	`intermediary.hostname`
`interfaceKind`	`security_result.detection.fields`
`ip`	`intermediary.asset.ip`
`ip_x`	`principal.ip` `principal.asset.ip`
`ipaddress`	`target.ip`, `target.asset.ip`
`is_post`	`additional.fields`
`IssuerName`	`network.tls.server.certificate.issuer`
`L`	`principal.location.city`
`last_contact`	`additional.fields`
`loc`	`target.url`
`localdate`	`additional.fields`
`lock_duration`	`additional.fields`
`log_action`	`sec_result.detection_fields`
`log_action`	`security_result.detection.fields`
`log_category`	`additional.fields`
`log_data`	`additional.fields`
`log_format`	`additional.fields`
`log_timestamp`	`additional.fields`
`log_type`	`additional.fields`
`log.syslog.priority`	`additional.fields`
`login_count`	`sec_result.detection_fields`
`login_count`	`security_result.detection_fields`
`LogoutMethod`	`additional.fields`
`max_attempts`	`additional.fields`
`message_content`	`security_result.summary`
`message_id`	`metadata.product_log_id`
`message_status_code`	`additional.fields`
`method`	`network.http.method`
`monitored_resource`	`additional.fields`
`msg`	`metadata.description`
`msi_client_cookie`	`additional.fields`
`msticks`	`additional.fields`
`Nat_ip`	`additional.fields`, `principal.nat_ip`, `principal.asset.nat_ip` . Se o `Nat_ip` não for um endereço IP, ele estará em `additional.fields`.
`netscaler_principal_ip_context`	`principal.resource.attribute.labels`
`netscaler_tag`	`intermediary.asset.product_object_id`
`netscaler_target_ip_context`	`target.resource.attribute.labels`
`new_webview`	`additional.fields`
`newWebview`	`additional.fields`
`NonHttp_services_accessed`	`security_result.detection.fields`
`nsPartitionName`	`additional.fields`
`on_port`	`additional.fields`
`Organization`	`principal.resource.attribute.labels`
`OU`	`principal.resource.attribute.labels`
`owner_from`	`additional.fields`
`owner_id`	`additional.fields`
`pcb_devno`	`additional.fields`
`pcbdevno`	`additional.fields`
`Policyname`	`security_result.rule_name`
`port`	`principal.port`
`port_details`	`principal.port`
`prin_ip`	`principal.ip` `principal.asset.ip`
`prin_user`	`principal.user.userid`
`principal_ip`	`principal.ip`, `principal.asset.ip`
`principal_port`	`principal.port`
`prod_event_type`	`metadata.product_event_type`
`protocol`	`network.ip_protocol`
`protocol_feature`	`security_result.detection.fields`
`ProtocolVersion`	`network.tls.protocol_version`
`pwdlen`	`additional.fields`
`pwdlen2`	`additional.fields`
`q_flags`	`additional.fields`
`reason_val`	`security_result.description`
`receiver_version`	`additional.fields`
`record_type`	`network.dns.question.type`
`refmask`	`additional.fields`
`remote_ip`	`principal.ip` `principal.asset.ip`
`remote_port`	`principal.port`
`request`	`target.url`
`ReqURL`	`additional.fields`
`resource_cmd`	`target.resource.name`
`resource_name`	`principal.resource.name`
`response`	`additional.fields`
`response_code`	`additional.fields`
`rule_id`	`security_result.rule.id`
`rule_name`	`security_result.rule_name`
`SerialNumber`	`network.tls.server.certificate.serial`
`server_authenticated`	`additional.fields`
`serverside_jitter`	`additional.fields`
`serverside_packet_retransmits`	`additional.fields`
`serverside_rtt`	`additional.fields`
`service_name`	`principal.applications`
`sess_flags2:`	`additional.fields`
`sess_seq`	`network.session_id`
`sessFlags2`	`additional.fields`
`Session`	`additional.fields`
`session_cookie`	`security_result.detection_fields`
`session_guid`	`network.session_id`
`session_id_label`	`network.session_id`
`session_setup_time`	`additional.fields`
`session_type`	`sec_result.description`
`SessionId`	`network.session_id`
`skip_code`	`additional.fields`
`source_file`	`additional.fields`
`source_hostname`	`principal.hostname`, `principal.asset.hostname`
`source_line`	`additional.fields`
`source.ip`	`principal.ip`, `principal.asset.ip`
`source.port`	`principal.resource.attribute.labels`
`spcb_id`	`security_result.detecrion.fields`
`SPCBId`	`sec_result.detection_fields`
`spt`	`principal.port`
`src`	`principal.ip` `principal.asset.ip`
`src_hostname`	`principal.hostname` `principal.asset.hostname`
`src_ip`	`principal.ip` `principal.asset.ip`
`src_ip1`	`src.ip`, `src.asset.ip`
`src_port`	`principal.port`
`ssid`	`network.session_id`
`SSLVPN_client_type`	`additional.fields`
`SSO`	`additional.fields`
`sso`	`additional.fields`
`sso_auth_type`	`additional.fields`
`sso_flags`	`security_result.detection_fields`
`sso_state`	`additional.fields`
`SSOduration`	`additional.fields`
`SSOurl`	`additional.fields`
`ssoUsername`	`additional.fields`
`ssoUsername2`	`additional.fields`
`ST`	`principal.location.state`
`sta_port`	`additional.fields`
`sta_ticket`	`additional.fields`
`start_time`	`additional.fields`
`Start_time`	`additional.fields`
`State`	`security_result.action_details`
`state`	`additional.fields`
`state_value`	`additional.fields`
`StatusCode`	`additional.fields`
`SubjectName`	`network.tls.client.certificate.subject`
`summ`	`security_result.summary`
`summary`	`security_result.summary`
`sysCmdPolLen`	`security_result.detection.fields`
`syslog_priority`	`additional.fields`
`tags`	`additional.fields`
`tar_ip`	`target.ip` `target.asset.ip`
`tar_port`	`target.port`
`target_id`	`target.resource.id`
`target_port`	`target.port`
`TCP`	`network.ip_protocol`
`timeout_ms`	`additional.fields`
`timestamp`	`metadata.event_timestamp`
`Total_bytes_send`	`network.sent_bytes`
`Total_compressedbytes_recv`	`additional.fields`
`Total_compressedbytes_send`	`additional.fields`
`Total_policies_allowed`	`security_result.detection.fields`
`Total_policies_denied`	`security_result.detection.fields`
`Total_TCP_connections`	`security_result.detection.fields`
`Total_UDP_flows`	`security_result.detection.fields`
`track_flags`	`additional.fields`
`trans_id`	-
`tt`	`metadata.event_timestamp`
`User`	`principal.user.userid`
`user_agent.original`	`network.http.user_agent`
`user_email`	`principal.user.email_addresses`
`user_id`	`principal.user.userid`
`user.domain`	`target.administrative_domain`
`user.name`	`principal.user.user_display_name`
`userids`	`target.user.userid`
`ValidFrom`	`network.tls.server.certificate.not_before`
`ValidTo`	`network.tls.server.certificate.not_after`
`version`	`additional.fields`
`VPNexportState`	`additional.fields`
`Vport`	`target.port`
`Vserver Timestamp`	`additional.fields`
`vserver_id`	`target.resource.product_object_id`
`Vserver_ip`	`target.ip`, `target.asset.ip`
`vserver_port`	`target.port`
`Vserver_port`	`target.port`
`vserver_timestamp`	`additional.fields`
`vserver.ip`	`target.ip`, `target.asset.ip`
`wirep`	`additional.fields`
`wirep_name`	`additional.fields`
`wirep_ref_cnt`	`additional.fields`

Referência delta do mapeamento da UDM

Em 3 de fevereiro de 2026, o Google SecOps lançou uma nova versão do analisador NetScaler, que inclui mudanças significativas no mapeamento de campos de registro do NetScaler para campos do UDM e no mapeamento de tipos de eventos.

Delta de mapeamento de campo de registro

A tabela a seguir lista o delta de mapeamento para campos de registro do NetScaler para UDM expostos antes de 3 de fevereiro de 2026 e posteriormente (listados nas colunas Mapeamento antigo e Mapeamento atual, respectivamente):

Campo de registro	Mapeamento antigo	Mapeamento atual
`act`	`securit_.result.detetction_fields`	`securtiy_result.action_details`, `security_result.action`
`client_ip`	`additional.fields`	`principal.ip`, `principal.asset.ip`
`ClientVersion`	`network.tls.version`	`network.tls.version_protocol`
`connectionId`	`security_result.detection_fields`	`network.session_id`
`CSAppname`	`-`	`-`
`domain`	`target.user.administrative_domain`	`security_result.detection.fields`, `additional.fields`
`end_time`	`security_result.detection.fields security_result.last_discovered_time`	`additional.fields`
`event_id`	`additional.fields`	`metadata.product_log_id`
`geolocation`	`location.city`	`location.country_region`
`Group(s)`	`target.user.group_display_name`	`target.user.group_identifiers`
`HandshakeTime`	`network.session_duration.seconds`	`additional.fields`
`host.name`	`intermediary.hostname`	`target.hostname`, `target.asset.hostname`
`hostname`	`target.hostname`, `target.asset.hostname`	`intermediary.hostname`, `intermediary.asset.hostname`
`hostname`	`principal.hostname`, `principal.asset.hostname`	`target.hostname`, `target.asset.hostname`
`ipaddress`	`principal.ip`, `principal.asset.ip`	`target.ip`, `target.asset.ip`
`Nat_ip`	`principal.ip`, `principal.asset.ip`	`principal.nat_ip`, `principal.nat_ip`
`port_details`	`principal.labels`	`principal.port`
`principal_ip`	`target.ip`, `target.asset.ip`	`principal.ip`, `principal.asset.ip`
`request`	`security_result.summary`	`target.url`
`sess_seq`	`additional.fields`	`network.session_id`
`session_guid`	`metadata.product_log_id`	`network.session_id`
`source_hostname`	`target.hostname`, `target.asset.hostname`	`principal.hostname`, `principal.asset.hostname`
`spcb_id`	`additional.fields`	`security_result.detecrion.fields`
`ssid`	`additional.fields`	`network.session_id`
`start_time`	`security_result.detection.fields security_result.first_discovered_time`	`additional.fields`
`SubjectName`	`principal.resource.attribute.labels`	`network.tls.client.certificate.subject`
`summary`	`metadata.descritption`	`security_result.summary`
`target_port`	`principal.port`	`target.port`
`trans_id`	`security_result.detection.fields`	`-`
`user_id`	`target.user.userid`	`principal.user.userid`

Delta de mapeamento de tipo de evento

A tabela a seguir lista o delta para o processamento de tipos de eventos do NetScaler antes de 3 de fevereiro de 2026 e depois (listados nas colunas Old event_type e Current event_type, respectivamente):

Old event_type	event_type atual	Motivo
`NETWORK_CONNECTION`	`NETWORK_DNS`	Se `message_type` for `DNS_QUERY` ou nomeado quando `has_network_dns` for `true`.
`NETWORK_CONNECTION`	`NETWORK_HTTP`	Quando `message_type` é `SSLVPN HTTPREQUEST`.
`STATUS_UPDATE`	`NETWORK_CONNECTION`	Mapeado para um tipo de evento específico e adequado.
`STATUS_UPDATE`	`USER_RESOURCE_UPDATE_CONTENT`	Quando `message_type` é SNMP `TRAP_SENT` e `has_target_resource` é `true`, isso é mapeado para um tipo de evento específico e adequado.
`STATUS_UPDATE`	`USER_UNCATEGORIZED`	Mapeado para um tipo de evento específico e adequado quando o principal `userid` está presente.
`USER_RESOURCE_ACCESS`	`NETWORK_HTTP`	Quando message_type é `SSLVPN HTTPREQUEST`
`USER_STATS`	`GENERIC_EVENT`	`USER_STATS` está descontinuado, então isso é mapeado para um tipo de evento específico e adequado.
`USER_STATS`	`NETWORK_CONNECTION`	`USER_STATS` está descontinuado, então isso é mapeado para um tipo de evento específico e adequado.
`USER_STATS`	`USER_LOGIN`	`USER_STATS` está descontinuado, então isso é mapeado para um tipo de evento específico e adequado.
`USER_STATS`	`USER_LOGOUT`	`USER_STATS` está descontinuado. Portanto, ele é mapeado para um tipo de evento específico e adequado quando `message_type` é `LOGOUT`.
`USER_UNCATEGORIZED`	`GENERIC_EVENT`	O registro não tem um campo de máquina principal para mapear.
`USER_UNCATEGORIZED`	`NETWORK_CONNECTION`	Mapeado para um tipo de evento específico e adequado.
`USER_UNCATEGORIZED`	`USER_LOGIN`	Mapeado para um tipo de evento específico e adequado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.