Duo-Administratorprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Duo-Administratorlogs mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Logs (JSON-Format) und ordnet sie dem Unified Data Model (UDM) zu. Es verarbeitet verschiedene Duo-Aktionstypen (Anmeldung, Nutzerverwaltung, Gruppenverwaltung) unterschiedlich und füllt relevante UDM-Felder basierend auf der Aktion und den verfügbaren Daten aus, einschließlich Nutzerdetails, Authentifizierungsfaktoren und Sicherheitsergebnissen. Außerdem werden Datentransformationen durchgeführt, z. B. das Zusammenführen von IP-Adressen, das Konvertieren von Zeitstempeln und die Fehlerbehandlung.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Funktionen, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf den Duo-Mandanten (Admin API-Anwendung)

Duo Admin API-Anwendung konfigurieren

  1. Melden Sie sich im Duo Admin Panel an.
  2. Rufen Sie Anwendungen > App-Katalog auf.
  3. Fügen Sie eine Admin API-Anwendung hinzu.
  4. Notieren Sie die folgenden Werte:
    • Integrationsschlüssel (ikey)
    • Geheimer Schlüssel (skey)
    • API-Hostname (z. B. api-XXXXXXXX.duosecurity.com)
  5. Aktivieren Sie unter Berechtigungen die Option Leselog gewähren, um Administratorprotokolle lesen zu können.
  6. Speichern Sie die Anwendung.

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. duo-admin-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie duo-admin-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Duo administrator logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie duo-admin-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Duo Admin API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname duo-admin-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema (duo-admin-trigger) aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto aus (duo-admin-collector-sa).

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert
    GCS_BUCKET duo-admin-logs
    GCS_PREFIX duo/admin
    STATE_KEY duo/admin/state.json
    DUO_IKEY DIXYZ...
    DUO_SKEY ****************
    DUO_API_HOSTNAME api-XXXXXXXX.duosecurity.com

  10. Scrollen Sie auf dem Tab Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen unter Container auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.
    • Klicken Sie auf Fertig.

  12. Scrollen Sie zu Ausführungsumgebung:

    • Wählen Sie Standard aus (empfohlen).

  13. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  14. Klicken Sie auf Erstellen.

  15. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  16. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import hmac
import hashlib
import base64
import email.utils
import urllib.parse
import time

# Initialize HTTP client
http = urllib3.PoolManager()

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo Admin logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'duo/admin')
    state_key = os.environ.get('STATE_KEY', 'duo/admin/state.json')

    # Duo API credentials
    duo_ikey = os.environ.get('DUO_IKEY')
    duo_skey = os.environ.get('DUO_SKEY')
    duo_api_hostname = os.environ.get('DUO_API_HOSTNAME', '').strip()

    if not all([bucket_name, duo_ikey, duo_skey, duo_api_hostname]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        now = int(time.time())
        mintime = state.get('mintime', now - 3600)

        print(f'Processing logs since {mintime}')

        # Fetch logs from Duo Admin API
        page = 0
        total = 0
        next_mintime = mintime
        max_seen_ts = mintime

        while True:
            page_num = 0

            data = duo_api_request(
                duo_ikey, 
                duo_skey, 
                duo_api_hostname,
                'GET',
                '/admin/v1/logs/administrator',
                {'mintime': mintime}
            )

            # Write page to GCS
            write_page(bucket, prefix, data, now, page)
            page += 1

            # Extract items
            resp = data.get('response')
            items = resp if isinstance(resp, list) else (resp.get('items') if isinstance(resp, dict) else [])
            items = items or []

            if not items:
                break

            total += len(items)

            # Track the newest timestamp in this batch
            for it in items:
                ts = epoch_from_item(it)
                if ts and ts > max_seen_ts:
                    max_seen_ts = ts

            # Duo returns only the 1000 earliest events; page by advancing mintime
            if len(items) >= 1000 and max_seen_ts >= mintime:
                mintime = max_seen_ts
                next_mintime = max_seen_ts
                continue
            else:
                break

        # Save checkpoint: newest seen ts, or "now" if nothing new
        if max_seen_ts > next_mintime:
            save_state(bucket, state_key, {'mintime': max_seen_ts})
            next_state = max_seen_ts
        else:
            save_state(bucket, state_key, {'mintime': now})
            next_state = now

        print(f'Successfully processed {total} events across {page} pages, next_mintime: {next_state}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def write_page(bucket, prefix, payload, when, page):
    """Write a page of logs to GCS."""
    try:
        timestamp_str = time.strftime('%Y/%m/%d', time.gmtime(when))
        key = f"{prefix}/{timestamp_str}/duo-admin-{page:05d}.json"
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(payload, separators=(',', ':')),
            content_type='application/json'
        )
        print(f'Wrote page {page} to {key}')
    except Exception as e:
        print(f'Error writing page {page}: {str(e)}')
        raise

def canon_params(params):
    """Canonicalize parameters for Duo API signature."""
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        parts.append(f"{urllib.parse.quote(str(k), '~')}={urllib.parse.quote(str(v), '~')}")
    return "&".join(parts)

def sign_request(method, host, path, params, ikey, skey):
    """Sign Duo API request."""
    now = email.utils.formatdate()
    canon = "\n".join([
        now,
        method.upper(),
        host.lower(),
        path,
        canon_params(params)
    ])
    sig = hmac.new(skey.encode('utf-8'), canon.encode('utf-8'), hashlib.sha1).hexdigest()
    auth = base64.b64encode(f"{ikey}:{sig}".encode()).decode()
    return {
        'Date': now,
        'Authorization': f'Basic {auth}'
    }

def duo_api_request(ikey, skey, host, method, path, params, timeout=60, max_retries=5):
    """Make a signed request to Duo Admin API with retry logic."""
    assert host.startswith('api-') and host.endswith('.duosecurity.com'), \
        "DUO_API_HOSTNAME must be like api-XXXXXXXX.duosecurity.com"

    qs = canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if qs else "")

    attempt = 0
    backoff = 1.0

    while True:
        headers = sign_request(method, host, path, params, ikey, skey)
        headers['Accept'] = 'application/json'

        try:
            response = http.request(method.upper(), url, headers=headers, timeout=timeout)
            return json.loads(response.data.decode('utf-8'))
        except urllib3.exceptions.HTTPError as e:
            # Retry on 429 or 5xx
            if hasattr(e, 'status') and (e.status == 429 or 500 <= e.status <= 599) and attempt < max_retries:
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise
        except Exception as e:
            if attempt < max_retries:
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise

def epoch_from_item(item):
    """Extract epoch timestamp from log item."""
    # Prefer numeric 'timestamp' (seconds); fallback to ISO8601 'ts'
    ts_num = item.get('timestamp')
    if isinstance(ts_num, (int, float)):
        return int(ts_num)

    ts_iso = item.get('ts')
    if isinstance(ts_iso, str):
        try:
            # Accept "...Z" or with offset
            return int(datetime.fromisoformat(ts_iso.replace('Z', '+00:00')).timestamp())
        except Exception:
            return None
    return None
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name duo-admin-collector-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Thema aus (duo-admin-trigger).
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Scheduler-Job testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
  2. Klicken Sie auf Force run (Ausführung erzwingen), um die Ausführung manuell auszulösen.
  3. Warten Sie einige Sekunden und rufen Sie Cloud Run > Dienste > duo-admin-collector > Logs auf.
  4. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde.
  5. Prüfen Sie im GCS-Bucket, ob Logs geschrieben wurden.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Duo Administrator Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Duo-Administratorprotokolle als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Duo-Administratorprotokolle aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Duo Administrator Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Duo-Administratorprotokolle als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://duo-admin-logs/duo/admin/

      • Ersetzen Sie:

        • duo-admin-logs: Der Name Ihres GCS-Buckets.
        • duo/admin: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

      • Beispiele:

        • Root-Bucket: gs://company-logs/
        • Mit Präfix: gs://company-logs/duo-logs/
        • Mit Unterordner: gs://company-logs/duo/admin/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion metadata.product_event_type Der Wert des Aktionsfelds aus dem Rohlog.
Ab metadata.description Der Wert des Felds „desc“ aus dem description-Objekt des Rohlogs.
description._status target.group.attribute.labels.value Der Wert des Felds „_status“ im Beschreibungsobjekt aus dem Rohlog, insbesondere bei der Verarbeitung gruppenbezogener Aktionen. Dieser Wert wird in einem „labels“-Array mit dem entsprechenden „key“-Wert „status“ platziert.
description.desc metadata.description Der Wert des Felds „desc“ aus dem description-Objekt des Rohlogs.
description.email target.user.email_addresses Der Wert des E-Mail-Felds aus dem Beschreibungsobjekt des Rohlogs.
description.error security_result.summary Der Wert des Fehlerfelds aus dem Beschreibungsobjekt des Rohlogs.
description.factor extensions.auth.auth_details Der Wert des Faktor-Felds aus dem Beschreibungsobjekt des Rohlogs.
description.groups.0._status target.group.attribute.labels.value Der Wert des Felds „_status“ aus dem ersten Element im Array „groups“ im Beschreibungsobjekt des Rohlogs. Dieser Wert wird in einem „labels“-Array mit dem entsprechenden „key“-Wert „status“ platziert.
description.groups.0.name target.group.group_display_name Der Wert des Felds „name“ aus dem ersten Element im Array „groups“ im Objekt „description“ des Rohlogs.
description.ip_address principal.ip Der Wert des Felds „ip_address“ aus dem Beschreibungsobjekt des Rohlogs.
description.name target.group.group_display_name Der Wert des Namensfelds aus dem Beschreibungsobjekt des Rohlogs.
description.realname target.user.user_display_name Der Wert des Felds „realname“ aus dem Beschreibungsobjekt des Rohlogs.
description.status target.user.attribute.labels.value Der Wert des Statusfelds aus dem Beschreibungsobjekt des Rohlogs. Dieser Wert wird in einem „labels“-Array mit dem entsprechenden „key“-Wert „status“ platziert.
description.uname target.user.email_addresses oder target.user.userid Der Wert des Felds „uname“ aus dem Beschreibungsobjekt des Rohlogs. Wenn es dem Format einer E-Mail-Adresse entspricht, wird es „email_addresses“ zugeordnet. Andernfalls wird es „userid“ zugeordnet.
Host principal.hostname Der Wert des Hostfelds aus dem Rohlog.
isotimestamp metadata.event_timestamp.seconds Der Wert des Felds „isotimestamp“ aus dem Rohlog, in Epochensekunden konvertiert.
Objekt target.group.group_display_name Der Wert des Objektfelds aus dem Rohlog.
timestamp metadata.event_timestamp.seconds Der Wert des Zeitstempelfelds aus dem Rohlog.
Nutzername target.user.userid oder principal.user.userid Wenn das Feld „action“ „login“ enthält, wird der Wert „target.user.userid“ zugeordnet. Andernfalls wird sie principal.user.userid zugeordnet.
- extensions.auth.mechanism Auf „USERNAME_PASSWORD“ festgelegt, wenn das Feld „action“ „login“ enthält.
- metadata.event_type Wird vom Parser auf Grundlage des Felds „action“ bestimmt. Mögliche Werte: USER_LOGIN, GROUP_CREATION, USER_UNCATEGORIZED, GROUP_DELETION, USER_CREATION, GROUP_MODIFICATION, GENERIC_EVENT.
- metadata.product_name Immer auf „DUO_ADMIN“ festgelegt.
- metadata.product_version Immer auf „MULTI-FACTOR_AUTHENTICATION“ festgelegt.
- metadata.vendor_name Immer auf „DUO_SECURITY“ festgelegt.
- principal.user.user_role Auf „ADMINISTRATOR“ festgelegt, wenn das Feld „eventtype“ „admin“ enthält.
- security_result.action Wird vom Parser auf Grundlage des Felds „action“ bestimmt. Auf „BLOCK“ gesetzt, wenn das Aktionsfeld „error“ enthält, andernfalls auf „ALLOW“.
- target.group.attribute.labels.key Muss immer auf „status“ festgelegt sein, wenn target.group.attribute.labels ausgefüllt wird.
- target.user.attribute.labels.key Muss beim Ausfüllen von target.user.attribute.labels immer auf „status“ gesetzt werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten