Cloudflare-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloudflare-Logs mit Webhook (HTTP-Ziel) oder Google Cloud Storage in Google Security Operations aufnehmen. Cloudflare generiert Betriebsdaten in Form von Logs für DNS, HTTP-Anfragen, Firewallereignisse, Audit, Zero Trust und CASB. Durch diese Integration können Sie diese Logs zur Analyse und zum Monitoring an Google SecOps senden.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Cloudflare Enterprise-Konto mit aktivierter Logpush-Funktion.
  • Webhook-Methode: Privilegierter Zugriff auf die Google Cloud Console.
  • GCS-Methode: Berechtigter Zugriff auf Google Cloud Storage.

Methode 1: Cloudflare-Logexport mit Webhook (HTTP-Ziel) konfigurieren

Mit dieser Methode können Sie Cloudflare-Logs direkt in Google Security Operations streamen, ohne dass eine Zwischenspeicherung erforderlich ist. So werden Kosten gesenkt und die Konfiguration vereinfacht.

Webhook-Feed in Google SecOps konfigurieren

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloudflare Webhook.
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie Cloudflare als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  11. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  12. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn, da Sie ihn nicht noch einmal aufrufen können.
  13. Wechseln Sie zum Tab Details.
  14. Kopieren Sie die Feed-Endpunkt-URL aus dem Feld Endpoint Information (Endpunktinformationen).
  15. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Seite „Anmeldedaten“ in der Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Google SecOps-Instanz verknüpft ist).
  3. Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
  4. Klicken Sie auf API-Schlüssel bearbeiten.
  5. Wählen Sie unter API-Einschränkungen die Option Schlüssel einschränken aus.
  6. Suchen Sie im Drop-down-Menü APIs auswählen nach Chronicle API und wählen Sie die API aus.
  7. Klicken Sie auf Speichern.
  8. Kopieren Sie den API-Schlüsselwert.

Cloudflare Logpush-HTTP-Ziel konfigurieren

  1. Melden Sie sich im Cloudflare-Dashboard an.
  2. Wählen Sie das Unternehmenskonto oder die Domain aus, die Sie mit Logpush verwenden möchten.
  3. Rufen Sie Analysen und Logs > Logs auf.
  4. Klicken Sie auf Logpush-Job erstellen.
  5. Wählen Sie unter Ziel auswählen die Option HTTP-Ziel aus.

  6. Geben Sie die HTTP-Endpunkt-URL mit Authentifizierungsparametern ein:

    <ENDPOINT_URL>?header_X-goog-api-key=<API_KEY>&header_X-Webhook-Access-Key=<SECRET_KEY>

    Ersetzen Sie Folgendes:

    • <ENDPOINT_URL>: Die Feed-Endpunkt-URL von Google SecOps.
    • <API_KEY>: Der API-Schlüssel aus der Google Cloud Console (URL-codiert, wenn er Sonderzeichen enthält).
    • <SECRET_KEY>: Der geheime Schlüssel aus dem Webhook-Feed (URL-codiert, wenn er Sonderzeichen enthält).

  7. Klicken Sie auf Weiter.

  8. Wählen Sie das Dataset aus, das übertragen werden soll, z. B. HTTP-Anfragen, DNS-Logs, Firewall-Ereignisse, Audit-Logs, Zero Trust-Logs oder CASB-Ergebnisse.

  9. Konfigurieren Sie Ihren Logpush-Job:

    • Geben Sie den Jobnamen ein.
    • Konfigurieren Sie unter Wenn Logs übereinstimmen optional Filter.
    • Wählen Sie unter Folgende Felder senden die Felder aus, die eingeschlossen werden sollen.
    • Wählen Sie das Zeitstempelformat aus:
      • RFC 3339 (empfohlen für Google SecOps)
      • Unix (Sekunden seit Epoche)
      • UnixNano (Nanosekunden seit Epoche)
    • Konfigurieren Sie bei Bedarf die Abtastrate.

  10. Klicken Sie auf Senden, um den Logpush-Job zu erstellen.

Webhook-Integration prüfen

Nach der Konfiguration sollten die Logs innerhalb weniger Minuten in Google SecOps angezeigt werden. So nehmen Sie eine Bestätigung vor:

  1. Rufen Sie Untersuchung > SIEM-Suche auf.
  2. Suchen Sie nach Logs mit dem konfigurierten Aufnahmelabel.
  3. Prüfen Sie, ob Cloudflare-Logs richtig geparst werden.

Methode 2: Cloudflare-Logexport mit Google Cloud Storage konfigurieren

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.
  2. Rufen Sie die Seite Cloud Storage > Buckets auf.
  3. Klicken Sie auf Erstellen.
  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein:
    • Name: Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudflare-data).
    • Standorttyp: Wählen Sie einen Standorttyp und eine Region aus.
    • Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
  5. Klicken Sie auf Erstellen.

Cloudflare-Berechtigungen für den Bucket erteilen

  1. Wählen Sie in der Cloud Storage-Konsole den GCS-Bucket aus (z. B. cloudflare-data).
  2. Klicken Sie auf den Tab Berechtigungen.
  3. Klicken Sie auf Zugriff erlauben.
  4. Geben Sie im Feld Hauptkonten hinzufügen logpush@cloudflare-data.iam.gserviceaccount.com ein.
  5. Wählen Sie im Drop-down-Menü Rollen zuweisen die Option Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Cloudflare Logpush für Cloud Storage konfigurieren

  1. Melden Sie sich im Cloudflare-Dashboard an.
  2. Wählen Sie das Unternehmenskonto oder die Domain aus, die Sie mit Logpush verwenden möchten.
  3. Rufen Sie Analysen und Logs > Logs auf.
  4. Klicken Sie auf Logpush-Job erstellen.
  5. Wählen Sie unter Ziel auswählen die Option Google Cloud Storage aus.
  6. Geben Sie den Pfad zu Ihrem GCS-Bucket ein, z. B. cloudflare-data/logs/.

  7. Klicken Sie auf Weiter.

  8. Geben Sie das Ownership Token ein und klicken Sie auf Weiter.

  9. Wählen Sie das Dataset aus, das in den Speicher übertragen werden soll.

  10. Konfigurieren Sie Ihren Logpush-Job:

    • Geben Sie den Jobnamen ein.
    • Unter Wenn Protokolle übereinstimmen können Sie die Ereignisse auswählen, die in Ihre Protokolle aufgenommen bzw. daraus entfernt werden sollen.
    • Wählen Sie unter Die folgenden Felder senden aus, welche Felder übertragen werden sollen.
    • Wählen Sie das Zeitstempelformat aus:
      • RFC 3339 (empfohlen für Google SecOps)
      • Unix (Sekunden seit Epoche)
      • UnixNano (Nanosekunden seit Epoche)
    • Konfigurieren Sie bei Bedarf die Abtastrate.

  11. Klicken Sie auf Senden.

Feed in Google SecOps konfigurieren, um Cloudflare-Logs aus GCS aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloudflare GCS Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Cloudflare als Logtyp aus.
  7. Klicken Sie auf Dienstkonto abrufen.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>/.

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.
      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Maximales Dateialter: Enthält Dateien, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Bucket-Namen, z. B. cloudflare-data.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Fügen Sie im Feld Hauptkonten hinzufügen die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
  6. Wählen Sie im Drop-down-Menü Rollen zuweisen die Option Storage-Objekt-Betrachter aus.
  7. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
ClientIP read_only_udm.principal.asset.ip, read_only_udm.principal.ip Der Wert wird aus dem Feld „ClientIP“ übernommen.
ClientRequestHost read_only_udm.target.asset.hostname, read_only_udm.target.hostname Der Wert wird aus dem Feld „ClientRequestHost“ übernommen.
ClientRequestMethod read_only_udm.network.http.method Der Wert wird aus dem Feld „ClientRequestMethod“ übernommen.
ClientRequestURI read_only_udm.target.url Der Wert wird aus dem Feld „ClientRequestURI“ übernommen. Wenn das Feld „ClientRequestHost“ nicht leer ist, wird der Wert mit dem Feld „ClientRequestHost“ verkettet.
ClientSrcPort read_only_udm.principal.port Der Wert wird aus dem Feld „ClientSrcPort“ übernommen.
ClientRequestUserAgent read_only_udm.network.http.user_agent Der Wert wird aus dem Feld „ClientRequestUserAgent“ übernommen.
ClientSSLCipher read_only_udm.network.tls.cipher Der Wert wird aus dem Feld „ClientSSLCipher“ übernommen.
ClientSSLProtocol read_only_udm.network.tls.version Der Wert wird aus dem Feld „ClientSSLProtocol“ übernommen.
Country read_only_udm.target.location.country_or_region Der Wert wird aus dem Feld „Land“ übernommen.
CreatedAt read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „CreatedAt“ übernommen.
Datetime read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „Datum/Uhrzeit“ übernommen.
DestinationIP read_only_udm.target.asset.ip, read_only_udm.target.ip Der Wert wird aus dem Feld „DestinationIP“ übernommen.
DestinationPort read_only_udm.target.port Der Wert wird aus dem Feld „DestinationPort“ übernommen.
DeviceID read_only_udm.principal.asset_id Der Wert wird aus dem Feld „DeviceID“ übernommen und mit „Cloudflare:“ vorangestellt.
DeviceName read_only_udm.principal.asset.hostname, read_only_udm.principal.hostname Der Wert wird aus dem Feld „DeviceName“ übernommen.
DstIP read_only_udm.target.asset.ip, read_only_udm.target.ip Der Wert wird aus dem Feld „DstIP“ übernommen.
DstPort read_only_udm.target.port Der Wert wird aus dem Feld „DstPort“ übernommen.
EdgeResponseBytes read_only_udm.network.received_bytes Der Wert wird aus dem Feld „EdgeResponseBytes“ übernommen.
EdgeResponseStatus read_only_udm.network.http.response_code Der Wert wird aus dem Feld „EdgeResponseStatus“ übernommen.
EdgeServerIP read_only_udm.target.asset.ip, read_only_udm.target.ip Der Wert wird aus dem Feld „EdgeServerIP“ übernommen.
Email read_only_udm.principal.user.email_addresses, read_only_udm.target.user.email_addresses Der Wert wird aus dem Feld „E-Mail-Adresse“ übernommen.
FirewallMatchesActions read_only_udm.security_result.action Der Wert wird auf „ALLOW“ gesetzt, wenn das Feld „FirewallMatchesAction“ „allow“, „Allow“, „ALLOW“, „skip“, „SKIP“ oder „Skip“ ist, auf „ALLOW_WITH_MODIFICATION“, wenn das Feld „FirewallMatchesAction“ „challengeSolved“ oder „jschallengeSolved“ ist, auf „BLOCK“, wenn das Feld „FirewallMatchesAction“ „drop“ oder „block“ ist, und auf „UNKNOWN_ACTION“, wenn das Feld „FirewallMatchesAction“ nicht leer ist.
FirewallMatchesRuleIDs read_only_udm.security_result.rule_id Der Wert wird aus dem Feld „FirewallMatchesRuleIDs“ übernommen.
FirewallMatchesSources read_only_udm.security_result.rule_name Der Wert wird aus dem Feld „FirewallMatchesSources“ übernommen.
HTTPMethod read_only_udm.network.http.method Der Wert wird aus dem Feld „HTTPMethod“ übernommen.
HTTPHost read_only_udm.target.hostname Der Wert wird aus dem Feld „HTTPHost“ übernommen.
HTTPVersion read_only_udm.network.application_protocol Der Wert wird aus dem Feld „HTTPVersion“ übernommen. Wenn der Wert „HTTP“ enthält, wird er durch „HTTP“ ersetzt.
IPAddress read_only_udm.target.asset.ip, read_only_udm.target.ip Der Wert wird aus dem Feld „IPAddress“ übernommen.
IsIsolated read_only_udm.about.labels, read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „IsIsolated“ übernommen und in einen String konvertiert.
Location read_only_udm.principal.location.name Der Wert wird aus dem Feld „Standort“ übernommen.
OriginIP read_only_udm.intermediary.ip, read_only_udm.target.asset.ip, read_only_udm.target.ip Der Wert wird aus dem Feld „OriginIP“ übernommen.
OriginPort read_only_udm.target.port Der Wert wird aus dem Feld „OriginPort“ übernommen.
OwnerID read_only_udm.target.user.product_object_id Der Wert wird aus dem Feld „OwnerID“ übernommen.
Policy read_only_udm.security_result.rule_name Der Wert wird aus dem Feld „Richtlinie“ übernommen.
PolicyID read_only_udm.security_result.rule_id Der Wert wird aus dem Feld „PolicyID“ übernommen.
PolicyName read_only_udm.security_result.rule_name Der Wert wird aus dem Feld „PolicyName“ übernommen.
Protocol read_only_udm.network.ip_protocol Der Wert wird aus dem Feld „Protocol“ (Protokoll) übernommen und in Großbuchstaben umgewandelt.
QueryCategoryIDs read_only_udm.security_result.about.labels, read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „QueryCategoryIDs“ übernommen.
QueryName read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „QueryName“ übernommen.
QueryNameReversed read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „QueryNameReversed“ übernommen.
QuerySize read_only_udm.network.sent_bytes Der Wert wird aus dem Feld „QuerySize“ übernommen.
QueryType read_only_udm.network.dns.questions.type Der Wert wird aus dem Feld „QueryType“ übernommen. Wenn der Wert einem der bekannten DNS-Eintragstypen entspricht, wird er dem entsprechenden numerischen Wert zugeordnet. Andernfalls wird der Wert in einen String umgewandelt.
RData read_only_udm.network.dns.answers Der Wert wird aus dem RData-Feld übernommen. Das Typfeld wird in eine vorzeichenlose Ganzzahl konvertiert.
RayID read_only_udm.metadata.product_log_id Der Wert wird aus dem Feld „RayID“ übernommen.
Referer read_only_udm.network.http.referral_url Der Wert wird aus dem Feld „Referer“ übernommen.
RequestID read_only_udm.metadata.product_log_id Der Wert wird aus dem Feld „RequestID“ übernommen.
ResolverDecision read_only_udm.security_result.summary Der Wert wird aus dem Feld „ResolverDecision“ übernommen.
ResourceID read_only_udm.target.resource.id, read_only_udm.target.resource.product_object_id Der Wert wird aus dem Feld „ResourceID“ übernommen.
ResourceType read_only_udm.target.resource.resource_subtype Der Wert stammt aus dem Feld „ResourceType“.
SNI read_only_udm.network.tls.client.server_name Der Wert wird aus dem SNI-Feld übernommen.
SecurityAction read_only_udm.security_result.action Der Wert wird auf „ALLOW“ gesetzt, wenn das Feld „SecurityAction“ oder „sec_action“ leer ist, auf „ALLOW_WITH_MODIFICATION“, wenn das Feld „SecurityAction“ „challengeSolved“ oder „jschallengeSolved“ ist, und auf „BLOCK“, wenn das Feld „SecurityAction“ „drop“ oder „block“ ist.
SecurityLevel read_only_udm.security_result.severity Der Wert wird aus dem Feld „SecurityLevel“ übernommen und dem entsprechenden UDM-Schweregradwert zugeordnet.
SessionID read_only_udm.network.session_id Der Wert wird aus dem Feld „SessionID“ übernommen.
SessionStartTime read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „SessionStartTime“ übernommen.
SourceIP read_only_udm.principal.asset.ip, read_only_udm.principal.ip, read_only_udm.src.asset.ip, read_only_udm.src.ip Der Wert wird aus dem Feld „SourceIP“ übernommen.
SourcePort read_only_udm.principal.port, read_only_udm.src.port Der Wert wird aus dem Feld „SourcePort“ übernommen.
SrcIP read_only_udm.principal.asset.ip, read_only_udm.principal.ip Der Wert wird aus dem Feld „SrcIP“ übernommen.
SrcPort read_only_udm.principal.port Der Wert wird aus dem Feld „SrcPort“ übernommen.
TemporaryAccessDuration read_only_udm.network.session_duration.seconds Der Wert wird aus dem Feld „TemporaryAccessDuration“ übernommen.
Timestamp read_only_udm.metadata.event_timestamp Der Wert wird aus dem Feld „Zeitstempel“ übernommen.
Transport read_only_udm.network.ip_protocol Der Wert wird aus dem Feld „Transport“ übernommen und in Großbuchstaben umgewandelt.
URL read_only_udm.target.url Der Wert wird aus dem URL-Feld übernommen.
UserAgent read_only_udm.network.http.user_agent Der Wert wird aus dem Feld „UserAgent“ übernommen.
UserID read_only_udm.principal.user.product_object_id Der Wert wird aus dem Feld „UserID“ übernommen.
UserUID read_only_udm.target.user.product_object_id Der Wert wird aus dem Feld „UserUID“ übernommen.
VirtualNetworkID read_only_udm.principal.resource.product_object_id Der Wert wird aus dem Feld „VirtualNetworkID“ übernommen.
WAFAction read_only_udm.security_result.about.labels, read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFAction“ übernommen.
WAFAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFAttackScore“ übernommen.
WAFFlags read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFFlags“ übernommen.
WAFProfile read_only_udm.security_result.about.labels, read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFProfile“ übernommen.
WAFRCEAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFRCEAttackScore“ übernommen.
WAFRuleID read_only_udm.security_result.about.labels, read_only_udm.security_result.about.resource.attribute.labels, read_only_udm.security_result.threat_id Der Wert wird aus dem Feld „WAFRuleID“ übernommen.
WAFRuleMessage read_only_udm.security_result.rule_name, read_only_udm.security_result.threat_name Der Wert wird aus dem Feld „WAFRuleMessage“ übernommen.
WAFSQLiAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFSQLiAttackScore“ übernommen.
WAFXSSAttackScore read_only_udm.security_result.about.resource.attribute.labels Der Wert wird aus dem Feld „WAFXSSAttackScore“ übernommen.
ZoneID read_only_udm.additional.fields Der Wert wird aus dem Feld „ZoneID“ übernommen.
read_only_udm.metadata.log_type Der Wert ist auf „CLOUDFLARE“ festgelegt.
read_only_udm.metadata.product_name Der Wert wird auf „Cloudflare Gateway DNS“ gesetzt, wenn es sich beim Log um ein DNS-Log handelt, auf „Cloudflare Gateway HTTP“, wenn es sich beim Log um ein Gateway-HTTP-Log handelt, auf „Cloudflare Audit“, wenn es sich beim Log um ein Audit-Log handelt, und ansonsten auf „Web Application Firewall“.
read_only_udm.metadata.vendor_name Der Wert ist auf „Cloudflare“ festgelegt.
read_only_udm.network.application_protocol Der Wert wird auf „DNS“ gesetzt, wenn es sich beim Log um ein DNS-Log handelt, auf „HTTP“, wenn das Feld „HTTPVersion“ „HTTP“ enthält, oder auf den Wert des Felds „Protocol“ in Großbuchstaben, wenn das Feld „Protocol“ nicht leer ist und nicht „tls“ oder „TLS“ enthält.
read_only_udm.network.direction Der Wert wird auf „OUTBOUND“ gesetzt, wenn das Feld „EgressIP“ nicht leer ist.
read_only_udm.network.http.parsed_user_agent Der Wert wird aus dem Feld „UserAgent“ oder „ClientRequestUserAgent“ übernommen und mit dem Filter „parseduseragent“ geparst.
read_only_udm.extensions.auth.type Der Wert wird auf „MACHINE“ festgelegt, wenn das Feld „Action“ den Wert „login“ oder „logout“ hat.
read_only_udm.metadata.event_type Der Wert ist auf „NETWORK_DNS“ festgelegt, wenn es sich beim Log um ein DNS-Log handelt, auf „NETWORK_CONNECTION“, wenn es sich beim Log um ein Gateway-HTTP-Log handelt, auf „USER_RESOURCE_ACCESS“, wenn es sich beim Log um ein Audit-Log handelt und die Felder „ActorIP“ und „ActorEmail“ leer sind, auf „USER_RESOURCE_UPDATE_CONTENT“, wenn es sich beim Log um ein Audit-Log handelt und die Felder „ResourceType“ und „newvalue“ nicht leer sind, auf „USER_LOGIN“, wenn das Feld „Action“ den Wert „login“ hat, auf „USER_LOGOUT“, wenn das Feld „Action“ den Wert „logout“ hat, auf „USER_RESOURCE_ACCESS“, wenn das Feld „Email“ nicht leer ist und dem Format einer E-Mail-Adresse entspricht, oder auf „NETWORK_CONNECTION“, wenn die Felder „EgressIP“ und „SourceIP“ nicht leer sind oder die Felder „OriginIP“ und „SourceIP“ nicht leer sind.
read_only_udm.target.file.mime_type Der Wert wird aus dem Feld „EdgeResponseContentType“ übernommen.
read_only_udm.target.location.country_or_region Der Wert wird aus dem Feld „Land“ übernommen.
read_only_udm.target.resource.id Der Wert wird aus dem Feld „AccountID“ oder „ResourceID“ übernommen.
read_only_udm.target.resource.product_object_id Der Wert wird aus dem Feld „AccountID“, „AppUUID“ oder „ResourceID“ übernommen.
read_only_udm.target.user.product_object_id Der Wert wird aus dem Feld „OwnerID“ oder „UserUID“ übernommen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten