Coletar registros de acesso de aplicativos personalizados

Compatível com:

Este documento explica como ingerir registros de acesso a aplicativos personalizados no Google Security Operations usando métodos de ingestão de streaming ou do Cloud Storage.

Os registros de acesso a aplicativos personalizados capturam eventos de autenticação, decisões de autorização e padrões de acesso de aplicativos proprietários ou personalizados. Esses registros são essenciais para monitorar a atividade do usuário, detectar tentativas de acesso não autorizado e manter a conformidade com as políticas de segurança.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Registros de acesso a aplicativos personalizados em formato JSON, CSV ou texto estruturado
  • Acesso a uma das seguintes opções:
    • Bucket do Google Cloud Storage (para ingestão do GCS)
    • Bucket do Amazon S3 (para ingestão do S3)
    • Conta do Microsoft Azure Storage (para ingestão de blobs do Azure)
    • Capacidade de endpoint do webhook (para ingestão baseada em push)
    • Amazon Kinesis Data Firehose (para ingestão de streaming)

Criar um tipo de registro personalizado

O tipo de registro CUSTOM_APPLICATION_ACCESS não existe como um analisador pré-criado no Google SecOps. É preciso criar um tipo de registro personalizado antes de ingerir registros.

  1. Acesse Configurações do SIEM > Tipos de registros disponíveis.
  2. Clique em Solicitar um tipo de registro.
  3. Em Criar um tipo de registro personalizado por conta própria, insira os seguintes detalhes:
    • Fornecedor/produto: insira Custom Application Access Logs
    • Tipo de registro: insira CUSTOM_APPLICATION_ACCESS.

  4. Clique em Criar tipo de registro.

  5. Aguarde 10 minutos para garantir que o novo tipo de registro esteja disponível em todos os componentes antes de criar feeds.

Escolher o método de ingestão

Selecione o método de ingestão mais adequado à sua infraestrutura:

  • Google Cloud Storage (GCS): use se o aplicativo gravar registros em buckets do GCS ou se você puder exportar registros para o GCS.
  • Amazon S3: use se o aplicativo gravar registros em buckets do S3 ou se for possível exportar registros para o S3.
  • Armazenamento de Blobs do Azure: use se o aplicativo gravar registros no Azure Storage ou se for possível exportar registros para o Azure.
  • Webhook: use se o aplicativo puder enviar solicitações HTTP POST para um endpoint externo.
  • Amazon Kinesis Data Firehose: use se o aplicativo gravar no CloudWatch Logs ou se você precisar de streaming em tempo real.

Opção 1: fazer a ingestão do Google Cloud Storage

Criar um bucket do Google Cloud Storage

  1. Acesse o Console do Google Cloud.
  2. Selecione seu projeto ou crie um novo.
  3. No menu de navegação, acesse Cloud Storage > Buckets.
  4. Clique em Criar bucket.

  5. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, custom-app-access-logs.
    Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional)
    Local Selecione o local (por exemplo, us-central1).
    Classe de armazenamento Padrão (recomendado para registros acessados com frequência)
    Controle de acesso Uniforme (recomendado)
    Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção

  6. Clique em Criar.

Configure seu aplicativo para gravar registros no GCS

Configure seu aplicativo personalizado para gravar registros de acesso no bucket do GCS que você criou. Os registros precisam ser gravados em um dos seguintes formatos:

  • Formato JSON (recomendado):

    {"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success", "source_ip": "203.0.113.45", "application": "custom-app", "resource": "/api/users"}

  • Formato CSV:

    timestamp,user,action,result,source_ip,application,resource
2025-01-15T10:30:00Z,john.doe@example.com,login,success,203.0.113.45,custom-app,/api/users

  • JSON delimitado por nova linha (NDJSON):

    {"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success"}
{"timestamp": "2025-01-15T10:30:05Z", "user": "jane.smith@example.com", "action": "access", "result": "denied"}

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Custom Application Access Logs - GCS).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione CUSTOM_APPLICATION_ACCESS_CUSTOM como o Tipo de registro.
  7. Clique em Receber conta de serviço.

  8. Um e-mail exclusivo da conta de serviço será exibido, por exemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Copie esse endereço de e-mail para usar na próxima etapa.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel Leitor de objetos do Storage no seu bucket do GCS.

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket.
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
    • Atribuir papéis: selecione Leitor de objetos do Storage.

  6. Clique em Salvar.

Configurar o feed no Google SecOps

  1. Volte para a página de criação de feeds ou acesse Configurações do SIEM > Feeds > Adicionar novo feed.
  2. Clique em Próxima.

  3. Especifique valores para os seguintes parâmetros de entrada:

    • URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:

      gs://custom-app-access-logs/

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
      • Excluir arquivos transferidos: exclui os arquivos após a transferência ser concluída.
      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados nos últimos dias (o padrão é 180 dias).

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed (por exemplo, custom_app_access).

  4. Clique em Próxima.

  5. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Opção 2: ingestão do Amazon S3

Criar um bucket do Amazon S3

  1. Abra o console do Amazon S3.
  2. Clique em Criar bucket.
  3. Informe os seguintes detalhes de configuração:
    • Nome do bucket: insira um nome significativo para o bucket (por exemplo, custom-app-access-logs).
    • Região: selecione a região em que o aplicativo é executado (por exemplo, us-east-1).
  4. Clique em Criar.

Criar um usuário do IAM com acesso ao S3

  1. Abra o console do IAM.
  2. Clique em Usuários > Adicionar usuário.
  3. Digite um nome de usuário (por exemplo, chronicle-s3-reader).
  4. Selecione Acesso programático.
  5. Clique em Next: Permissions.
  6. Escolha Anexar políticas atuais diretamente.
  7. Pesquise e selecione a política AmazonS3FullAccess.
  8. Clique em Avançar: tags.
  9. Clique em PRÓXIMO: REVISAR.
  10. Clique em Criar usuário.
  11. Clique em Baixar arquivo .csv para salvar a chave de acesso e a chave de acesso secreta para referência futura.
  12. Clique em Fechar.

Configurar o aplicativo para gravar registros no S3

Configure seu aplicativo personalizado para gravar registros de acesso no bucket do S3 que você criou. Use os mesmos formatos de registro descritos na seção do GCS (JSON, CSV ou NDJSON).

Configurar um feed no Google SecOps para ingerir registros do S3

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Custom Application Access Logs - S3).
  5. Selecione Amazon S3 V2 como o Tipo de origem.
  6. Selecione CUSTOM_APPLICATION_ACCESS_CUSTOM como o Tipo de registro.
  7. Clique em Próxima e em Enviar.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do S3: insira o URI do bucket no formato:

      s3://custom-app-access-logs/

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.

    • Idade máxima do arquivo: inclui arquivos modificados nos últimos dias (o padrão é 180 dias).

    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.

    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed (por exemplo, custom_app_access).

  9. Clique em Próxima e em Enviar.

Opção 3: ingerir do Azure Blob Storage

Criar conta de armazenamento do Azure

  1. No portal do Azure, pesquise Contas de armazenamento.
  2. Clique em Criar.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Assinatura Selecione sua assinatura do Azure
    Grupo de recursos Selecionar ou criar
    Nome da conta de armazenamento Insira um nome exclusivo (por exemplo, customappaccesslogs).
    Região Selecione a região (por exemplo, East US).
    Desempenho Padrão (recomendado)
    Redundância LRS (armazenamento com redundância local)

  4. Clique em Revisar + criar.

  5. Revise a visão geral da conta e clique em Criar.

  6. Aguarde até que a implantação seja concluída.

Receber credenciais da conta de armazenamento

  1. Acesse a Conta de armazenamento que você acabou de criar.
  2. Na navegação à esquerda, selecione Chaves de acesso em Segurança e rede.
  3. Clique em Mostrar chaves.
  4. Copie e salve o seguinte para uso posterior:
    • Nome da conta de armazenamento: customappaccesslogs
    • Chave 1 ou Chave 2: a chave de acesso compartilhado

Criar um contêiner de blob

  1. Na mesma conta de armazenamento, selecione Contêineres na navegação à esquerda.
  2. Clique em + Contêiner.
  3. Informe os seguintes detalhes de configuração:
    • Nome: insira access-logs.
    • Nível de acesso público: selecione Privado (sem acesso anônimo)
  4. Clique em Criar.

Configurar o aplicativo para gravar registros no Armazenamento de Blobs do Azure

Configure seu aplicativo personalizado para gravar registros de acesso no contêiner do Armazenamento de Blobs do Azure que você criou. Use os mesmos formatos de registro descritos na seção do GCS (JSON, CSV ou NDJSON).

Configurar um feed no Google SecOps para ingerir registros do Azure

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Custom Application Access Logs - Azure).
  5. Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
  6. Selecione CUSTOM_APPLICATION_ACCESS_CUSTOM como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do Azure: insira o URL do endpoint do serviço de blobs com o caminho do contêiner:

      https://customappaccesslogs.blob.core.windows.net/access-logs/

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.

    • Idade máxima do arquivo: inclui arquivos modificados nos últimos dias (o padrão é 180 dias).

    • Chave compartilhada: insira o valor da chave compartilhada (chave de acesso) capturado da conta de armazenamento.

    • Namespace do recurso: o namespace do recurso

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed (por exemplo, custom_app_access).

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Opção 4: ingestão usando webhook

Criar um feed de webhook no Google SecOps

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Custom Application Access Logs - Webhook).
  5. Selecione Webhook como o Tipo de origem.
  6. Selecione CUSTOM_APPLICATION_ACCESS_CUSTOM como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: insira \n para dividir eventos delimitados por nova linha (se você estiver enviando vários eventos por solicitação).
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed (por exemplo, custom_app_access).
  9. Clique em Próxima.
  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Gerar e salvar a chave secreta

  1. Na página de detalhes do feed, clique em Gerar chave secreta.
  2. Uma caixa de diálogo mostra a chave secreta.

  3. Copie e salve a chave secreta com segurança.

Receber o URL do endpoint do feed

  1. Acesse a guia Detalhes do feed.
  2. Na seção Informações do endpoint, copie o URL do endpoint do feed.

  3. O formato do URL é:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. Salve esse URL para as próximas etapas.

  5. Clique em Concluído.

Criar chave de API do Google Cloud

O Google SecOps exige uma chave de API para autenticação. Crie uma chave de API restrita no console do Google Cloud.

  1. Acesse a página "Credenciais" do Console do Google Cloud.
  2. Selecione seu projeto (o projeto associado à sua instância do Chronicle).
  3. Clique em Criar credenciais > Chave de API.
  4. Uma chave de API é criada e mostrada em uma caixa de diálogo.
  5. Clique em Editar chave de API para restringir a chave.
  6. Na página de configurações da chave de API:
    • Nome: insira um nome descritivo, por exemplo, Chronicle Webhook API Key.
  7. Em Restrições de API:
    1. Selecione Restringir chave.
    2. No menu suspenso Selecionar APIs, pesquise e selecione API Google SecOps (ou API Chronicle).
  8. Clique em Salvar.
  9. Copie o valor da chave de API do campo Chave de API na parte de cima da página.
  10. Salve a chave de API com segurança.

Configurar o aplicativo para enviar registros por webhook

Configure seu aplicativo personalizado para enviar solicitações HTTP POST ao endpoint de webhook do Chronicle.

  • Construa o URL do webhook:

    1. Adicione a chave de API ao URL do endpoint do feed:

      https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=<API_KEY>

    2. Substitua <API_KEY> pela chave de API que você criou.

  • Formato da solicitação HTTP POST:

    POST https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=<API_KEY> HTTP/1.1
Content-Type: application/json
x-chronicle-auth: <SECRET_KEY>

{"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success", "source_ip": "203.0.113.45"}

  • Para vários eventos (delimitados por nova linha):

    POST https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=<API_KEY> HTTP/1.1
Content-Type: application/json
x-chronicle-auth: <SECRET_KEY>

{"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success"}
{"timestamp": "2025-01-15T10:30:05Z", "user": "jane.smith@example.com", "action": "access", "result": "denied"}

  • Exemplo de uso de curl:

    curl -X POST \
  "https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -H "x-chronicle-auth: YOUR_SECRET_KEY" \
  -d '{"timestamp": "2025-01-15T10:30:00Z", "user": "john.doe@example.com", "action": "login", "result": "success", "source_ip": "203.0.113.45"}'

Opção 5: ingestão usando o Amazon Kinesis Data Firehose

Criar um feed no Google SecOps

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Custom Application Access Logs - Firehose).
  5. Selecione Amazon Data Firehose como o Tipo de origem.
  6. Selecione CUSTOM_APPLICATION_ACCESS_CUSTOM como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: insira \n para dividir registros delimitados por nova linha.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed (por exemplo, custom_app_access).
  9. Clique em Próxima.
  10. Revise a configuração do feed e clique em Enviar.
  11. Clique em Gerar chave secreta para autenticar o feed.
  12. Copie e salve a chave secreta, porque não será possível conferir esse Secret novamente.
  13. Acesse a guia Detalhes.
  14. Copie o URL do endpoint do feed no campo Informações do endpoint.
  15. Clique em Concluído.

Criar uma chave de API para o feed do Amazon Data Firehose

  1. Acesse a página Credenciais do console do Google Cloud em https://console.cloud.google.com/apis/credentials
  2. Clique em Criar credenciais e, em seguida, selecione Chave de API.
  3. Clique em Editar chave de API para restringir a chave.
  4. Em Restrições de API, selecione Restringir chave.
  5. Pesquise e selecione API Google SecOps.
  6. Clique em Salvar.
  7. Copie e salve a chave de API.

Criar o URL do endpoint

  1. Adicione a chave de API ao URL do endpoint do feed no seguinte formato:

    <FEED_ENDPOINT_URL>?key=<API_KEY>

  2. Substitua:

    • <FEED_ENDPOINT_URL>: o URL do endpoint do feed em uma etapa anterior
    • <API_KEY>: a chave de API em uma etapa anterior

    Exemplo:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...

  3. Salve esse URL completo para a próxima etapa.

Criar política do IAM para o Firehose

  1. No console da AWS, acesse a guia IAM > Políticas > Criar política > JSON.

  2. Cole o seguinte JSON de política:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:us-east-1:123456789012:deliverystream/CustomAppAccessToChronicle"
        }
    ]
}

  3. Substitua:

    • us-east-1: sua região da AWS
    • 123456789012: seu ID da conta da AWS (número de 12 dígitos)
    • CustomAppAccessToChronicle: o nome do fluxo de entrega do Firehose (você vai criar isso na próxima etapa)

  4. Nomeie a política como CustomAppAccessFirehoseWritePolicy.

  5. Clique em Criar política.

Criar um papel do IAM para o CloudWatch Logs

  1. Acesse IAM > Papéis > Criar papel.

  2. Selecione Política de confiança personalizada e cole:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Substitua us-east-1 pela sua região da AWS.

  4. Clique em Próxima.

  5. Pesquise e selecione a política CustomAppAccessFirehoseWritePolicy criada na etapa anterior.

  6. Clique em Próxima.

  7. Nomeie a função como CloudWatchLogsToFirehoseRole.

  8. Clique em Criar papel.

Criar um fluxo de entrega do Kinesis Data Firehose

  1. No console da AWS, acesse Kinesis > Data Firehose > Criar fluxo de entrega.

  2. Informe os seguintes detalhes de configuração:

    • Origem e destino:

      • Origem: selecione PUT direto ou outras origens.
      • Destino: selecione Endpoint HTTP.

    • Nome do fluxo de entrega:

      • Nome do fluxo de entrega: insira CustomAppAccessToChronicle.

    • Destino do endpoint HTTP:

      • URL do endpoint HTTP: insira o URL completo do endpoint que você criou antes (endpoint do feed + chave de API).
      • Codificação de conteúdo: selecione GZIP (recomendado para economizar largura de banda).

    • Cabeçalhos HTTP personalizados:

      • Clique em Adicionar cabeçalho HTTP personalizado.
      • Nome do cabeçalho: insira X-Goog-Chronicle-Auth.
      • Valor do cabeçalho: insira a chave secreta que você salvou em uma etapa anterior.

    • Configurações de backup:

      • Backup do registro de origem no Amazon S3: selecione Somente dados com falha (recomendado).
      • Bucket do S3: selecione um bucket atual ou crie um para registros com falha.

    • Dicas de buffer:

      • Tamanho do buffer: insira 1 MiB (mínimo para endpoints HTTP)
      • Intervalo de buffer: insira 60 segundos

    • Duração da nova tentativa:

      • Duração da nova tentativa: insira 300 segundos (5 minutos)

  3. Clique em Criar fluxo de entrega.

  4. Aguarde o status do fluxo de entrega mudar para Ativo (1 a 2 minutos).

Configure seu aplicativo para gravar no CloudWatch Logs

Configure seu aplicativo personalizado para gravar registros de acesso em um grupo de registros do CloudWatch. Em seguida, crie um filtro de assinatura para transmitir registros para o Firehose.

  1. No console da AWS, acesse CloudWatch > Registros > Grupos de registros.
  2. Crie um grupo de registros ou selecione um em que seu aplicativo grava registros.
  3. Clique na guia Filtros de assinatura.
  4. Clique em Criar > Criar filtro de assinatura do Amazon Kinesis Data Firehose.

  5. Informe os seguintes detalhes de configuração:

    • Destino: selecione o fluxo de entrega CustomAppAccessToChronicle.
    • Conceder permissão: selecione o papel CloudWatchLogsToFirehoseRole.
    • Nome do filtro de assinatura: insira CustomAppAccessToChronicle.
    • Formato do registro: selecione Outro. O Google SecOps processa a análise.
    • Padrão de filtro de assinatura: deixe em branco para enviar todos os eventos.

  6. Clique em Iniciar streaming.

  7. Os registros são transmitidos em tempo real para o Google SecOps pelo Firehose.

Criar um analisador personalizado

Depois de ingerir os registros, crie um analisador personalizado para normalizar os dados no formato UDM.

  1. Acesse Configurações do SIEM > Analisadores.
  2. Clique em Criar analisador.
  3. Selecione CUSTOM_APPLICATION_ACCESS_CUSTOM como o Tipo de registro.

  4. Use o editor de analisador para criar padrões Grok ou extensões de analisador que mapeiam seus campos de registro para campos do UDM.

    Exemplo de mapeamento de analisador:

    Campo de registro personalizado Campo de UDM
    timestamp metadata.event_timestamp
    user principal.user.email_addresses
    action security_result.action
    result security_result.summary
    source_ip principal.ip
    application target.application
    resource target.resource.name

  5. Teste o analisador com registros de amostra.

  6. Clique em Salvar para ativar o analisador.

Para instruções detalhadas sobre como criar analisadores, consulte Opções de analisador de autoatendimento.

Verificar a ingestão

Depois de configurar o feed e o analisador, verifique se os registros estão sendo ingeridos:

  1. Acesse Pesquisar > Pesquisa do UDM.

  2. Execute a seguinte consulta:

    metadata.log_type = "CUSTOM_APPLICATION_ACCESS_CUSTOM"

  3. Verifique se os eventos aparecem nos resultados da pesquisa.

  4. Verifique se os campos da UDM estão preenchidos corretamente com base na configuração do seu analisador.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
adicional Mesclado com rótulos criados com base em service, env, msg.attachment.fileName, msg.attachment.digest, msg.attachment.key, msg.attachment.authorizeId, msg.attachment.contentType, dest.type, type, msg.sortID, msg.refID, state.reported.applications_installed, state.reported.applications_status, state.reported.ota_queue, state.reported.VICMB_Deg_Battery_LimpHome, state.reported.VICMB_Inhibit_Propulsion, state.reported.VICMB_FA_LostComm_BPCM, state.reported.VICMB_FA_LostComm_SFAM1, state.reported.VICMB_Inhibit_HV, state.reported.VICMB_FA_LostComm_RIDM, state.reported.VICMB_FA_LostComm_RWAM1, state.reported.uname, meta.reported.battery_charging_rate_kw.timestamp, state.reported.battery_charging_rate_kw, meta.reported.cell.connected.timestamp, meta.reported.cell.packet_loss.timestamp, meta.reported.cell.average_ping_ms.timestamp, meta.reported.cell.bitrate.timestamp, meta.reported.cell.download_speed_bytes_per_sec.timestamp, meta.reported.cell.signal_strength.timestamp, meta.reported.cell.signal.timestamp, state.reported.cell.connected, state.reported.cell.packet_loss, state.reported.cell.average_ping_ms, state.reported.cell.bitrate, state.reported.cell.download_speed_bytes_per_sec, state.reported.cell.signal_strength, state.reported.cell.signal
request_time metadata.collected_timestamp Analisado de request_time usando o formato ISO8601
msg_1, msg.body metadata.description Valor de msg_1 se não estiver vazio, caso contrário, msg.body
user_id, src_email, otadata.1687965118.initiator metadata.event_type Definido como "USER_UNCATEGORIZED" se user_id, src_email, otadata.1687965118.initiator estiverem presentes. Caso contrário, "GENERIC_EVENT"
otadata.1687965118.deployment_id metadata.product_deployment_id Valor copiado diretamente
version metadata.product_version Valor copiado diretamente
response.status network.http.response_code Convertido para número inteiro
request_id principal.resource.product_object_id Valor copiado diretamente
msg.attachment.url, otadata.1687965118.download_url principal.url Valor de msg.attachment.url se não estiver vazio. Caso contrário, otadata.1687965118.download_url
src_email, otadata.1687965118.initiator principal.user.email_addresses Valor de src_email se corresponder à expressão regular de e-mail, caso contrário, de otadata.1687965118.initiator
user_id principal.user.userid Valor copiado diretamente
level security_result.severity Definido como "INFORMATIONAL" se o nível for "INFO"
metadata.product_name Definido como "Acesso personalizado ao aplicativo"
metadata.vendor_name Definido como "Acesso personalizado ao aplicativo"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.