Raccogliere i log di autenticazione di Duo

Questo documento spiega come importare i log di autenticazione di Duo in Google Security Operations. Il parser estrae i log dai messaggi in formato JSON. Trasforma i dati di log non elaborati nel modello di dati unificato (UDM), mappando campi come utente, dispositivo, applicazione, posizione e dettagli di autenticazione, gestendo al contempo vari fattori e risultati di autenticazione per classificare gli eventi di sicurezza. Il parser esegue anche la pulizia dei dati, la conversione dei tipi e la gestione degli errori per garantire la qualità e la coerenza dei dati.

Scegli tra due metodi di raccolta:

• Opzione 1: importazione diretta tramite API di terze parti
• Opzione 2: raccogli i log utilizzando la funzione Cloud Run e Google Cloud Storage

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

• Un'istanza Google SecOps
• Accesso privilegiato al pannello di amministrazione Duo (per creare applicazioni API Admin è necessario il ruolo Proprietario)
• Accesso privilegiato a GCP se utilizzi l'opzione 2

Opzione 1: importa i log di autenticazione di Duo utilizzando l'API di terze parti

Raccogli i prerequisiti di Duo (credenziali API)

1. Accedi al pannello di amministrazione di Duo come amministratore con il ruolo Proprietario, Amministratore o Gestore applicazioni.
2. Vai ad Applicazioni > Catalogo applicazioni.
3. Individua la voce relativa all'API Admin nel catalogo.
4. Fai clic su + Aggiungi per creare l'applicazione.
5. Copia e salva in una posizione sicura i seguenti dettagli:
   • Chiave di integrazione
   • Chiave segreta
   • Nome host API (ad esempio, api-XXXXXXXX.duosecurity.com)
6. Vai alla sezione Autorizzazioni.
7. Deseleziona tutte le opzioni di autorizzazione tranne Concedi lettura log.
8. Fai clic su Salva modifiche.

Configura un feed in Google SecOps per importare i log di autenticazione di Duo

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su + Aggiungi nuovo feed.
3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Duo Authentication Logs).
4. Seleziona API di terze parti come Tipo di origine.
5. Seleziona Duo Auth come Tipo di log.
6. Fai clic su Avanti.
7. Specifica i valori per i seguenti parametri di input:
   • Nome utente: inserisci la chiave di integrazione di Duo.
   • Secret (Segreto): inserisci la chiave segreta di Duo.
   • Nome host API: inserisci il nome host dell'API (ad esempio, api-XXXXXXXX.duosecurity.com).
   • Spazio dei nomi dell'asset: facoltativo. Lo spazio dei nomi dell'asset.
   • Etichette di importazione: facoltativo. L'etichetta da applicare agli eventi di questo feed.
8. Fai clic su Avanti.
9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Opzione 2: importa i log di autenticazione Duo utilizzando Google Cloud Storage

Raccogliere le credenziali dell'API Duo Admin

1. Accedi al pannello di amministrazione di Duo.
2. Vai ad Applicazioni > Catalogo applicazioni.
3. Individua API Admin nel catalogo delle applicazioni.
4. Fai clic su + Aggiungi per aggiungere l'applicazione API Admin.
5. Copia e salva i seguenti valori:
   • Chiave di integrazione (ikey)
   • Chiave segreta (skey)
   • Nome host API (ad esempio, api-XXXXXXXX.duosecurity.com)
6. In Autorizzazioni, attiva Concedi log di lettura.
7. Fai clic su Salva modifiche.

Creazione di un bucket Google Cloud Storage

1. Vai alla console Google Cloud.
2. Seleziona il tuo progetto o creane uno nuovo.
3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
4. Fai clic su Crea bucket.

5. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio duo-auth-logs).
   Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
   Località	Seleziona la posizione (ad esempio, us-central1).
   Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
   Controllo dell'accesso	Uniforme (consigliato)
   Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

6. Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni per scrivere nel bucket GCS.

Crea service account

1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
2. Fai clic su Crea service account.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome del service account: inserisci duo-auth-collector-sa.
   • Descrizione service account: inserisci Service account for Cloud Run function to collect Duo authentication logs.
4. Fai clic su Crea e continua.
5. Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
   1. Fai clic su Seleziona un ruolo.
   2. Cerca e seleziona Amministratore oggetti di archiviazione.
   3. Fai clic su + Aggiungi un altro ruolo.
   4. Cerca e seleziona Cloud Run Invoker.
   5. Fai clic su + Aggiungi un altro ruolo.
   6. Cerca e seleziona Invoker di Cloud Functions.
6. Fai clic su Continua.
7. Fai clic su Fine.

Questi ruoli sono necessari per:

• Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
• Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
• Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: inserisci l'email del service account (ad es. duo-auth-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Assegna i ruoli: seleziona Storage Object Admin.
6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

1. Nella console GCP, vai a Pub/Sub > Argomenti.
2. Fai clic su Crea argomento.
3. Fornisci i seguenti dettagli di configurazione:
   • ID argomento: inserisci duo-auth-trigger.
   • Lascia le altre impostazioni sui valori predefiniti.
4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Duo Admin e scriverli in GCS.

1. Nella console GCP, vai a Cloud Run.
2. Fai clic su Crea servizio.
3. Seleziona Funzione (usa un editor in linea per creare una funzione).

4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome servizio	duo-auth-collector
   Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)
   Runtime	Seleziona Python 3.12 o versioni successive

5. Nella sezione Trigger (facoltativo):

   1. Fai clic su + Aggiungi trigger.
   2. Seleziona Cloud Pub/Sub.
   3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento duo-auth-trigger.
   4. Fai clic su Salva.

6. Nella sezione Autenticazione:

   1. Seleziona Richiedi autenticazione.
   2. Controlla Identity and Access Management (IAM).

7. Scorri verso il basso ed espandi Container, networking, sicurezza.

8. Vai alla scheda Sicurezza:

   • Service account: seleziona il service account duo-auth-collector-sa.

9. Vai alla scheda Container:

   1. Fai clic su Variabili e secret.
   2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

   Nome variabile	Valore di esempio
   GCS_BUCKET	duo-auth-logs
   GCS_PREFIX	duo/auth/
   STATE_KEY	duo/auth/state.json
   DUO_IKEY	DIXYZ...
   DUO_SKEY	****************
   DUO_API_HOSTNAME	api-XXXXXXXX.duosecurity.com
   LIMIT	500

10. Scorri verso il basso nella scheda Variabili e secret fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti).

11. Vai alla scheda Impostazioni in Container:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o un valore superiore.
      • CPU: seleziona 1.
    • Fai clic su Fine.

12. Scorri fino a Ambiente di esecuzione:

    • Seleziona Predefinito (opzione consigliata).

13. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0.
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).

14. Fai clic su Crea.

15. Attendi la creazione del servizio (1-2 minuti).

16. Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

1. Inserisci main in Entry point della funzione

2. Nell'editor di codice incorporato, crea due file:

   • Primo file: main.py:

   #!/usr/bin/env python3
   # Cloud Run Function: Pull Duo Admin API v2 Authentication Logs to GCS (raw JSON pages)
   # Notes:
   # - Duo v2 requires mintime/maxtime in *milliseconds* (13-digit epoch).
   # - Pagination via metadata.next_offset ("<millis>,<txid>").
   # - We save state (mintime_ms) in ms to resume next run without gaps.
   
   import functions_framework
   from google.cloud import storage
   import os
   import json
   import time
   import hmac
   import hashlib
   import base64
   import email.utils
   import urllib.parse
   from urllib.request import Request, urlopen
   from urllib.error import HTTPError, URLError
   
   DUO_IKEY = os.environ["DUO_IKEY"]
   DUO_SKEY = os.environ["DUO_SKEY"]
   DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
   GCS_BUCKET = os.environ["GCS_BUCKET"]
   GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/auth/").strip("/")
   STATE_KEY = os.environ.get("STATE_KEY", "duo/auth/state.json")
   LIMIT = min(int(os.environ.get("LIMIT", "500")), 1000)  # default 500, max 1000
   
   storage_client = storage.Client()
   
   def _canon_params(params: dict) -> str:
       parts = []
       for k in sorted(params.keys()):
           v = params[k]
           if v is None:
               continue
           parts.append(f"{urllib.parse.quote(str(k), '~')}={urllib.parse.quote(str(v), '~')}")
       return "&".join(parts)
   
   def _sign(method: str, host: str, path: str, params: dict) -> dict:
       now = email.utils.formatdate()
       canon = "\n".join([
           now,
           method.upper(),
           host.lower(),
           path,
           _canon_params(params)
       ])
       sig = hmac.new(
           DUO_SKEY.encode("utf-8"),
           canon.encode("utf-8"),
           hashlib.sha1
       ).hexdigest()
       auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode()).decode()
       return {
           "Date": now,
           "Authorization": f"Basic {auth}"
       }
   
   def _http(method: str, path: str, params: dict, timeout: int = 60, max_retries: int = 5) -> dict:
       host = DUO_API_HOSTNAME
       assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
           "DUO_API_HOSTNAME must be like api-XXXXXXXX.duosecurity.com"
   
       qs = _canon_params(params)
       url = f"https://{host}{path}" + (f"?{qs}" if qs else "")
   
       attempt, backoff = 0, 1.0
       while True:
           req = Request(url, method=method.upper())
           req.add_header("Accept", "application/json")
           for k, v in _sign(method, host, path, params).items():
               req.add_header(k, v)
   
           try:
               with urlopen(req, timeout=timeout) as r:
                   return json.loads(r.read().decode("utf-8"))
           except HTTPError as e:
               if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries:
                   time.sleep(backoff)
                   attempt += 1
                   backoff *= 2
                   continue
               raise
           except URLError:
               if attempt < max_retries:
                   time.sleep(backoff)
                   attempt += 1
                   backoff *= 2
                   continue
               raise
   
   def _read_state_ms() -> int | None:
       try:
           bucket = storage_client.bucket(GCS_BUCKET)
           blob = bucket.blob(STATE_KEY)
           if blob.exists():
               state_data = blob.download_as_text()
               val = json.loads(state_data).get("mintime")
               if val is None:
                   return None
               # Backward safety: if seconds were stored, convert to ms
               return int(val) * 1000 if len(str(int(val))) <= 10 else int(val)
       except Exception:
           return None
   
   def _write_state_ms(mintime_ms: int):
       bucket = storage_client.bucket(GCS_BUCKET)
       blob = bucket.blob(STATE_KEY)
       body = json.dumps({"mintime": int(mintime_ms)}).encode("utf-8")
       blob.upload_from_string(body, content_type="application/json")
   
   def _write_page(payload: dict, when_epoch_s: int, page: int) -> str:
       bucket = storage_client.bucket(GCS_BUCKET)
       key = f"{GCS_PREFIX}/{time.strftime('%Y/%m/%d', time.gmtime(when_epoch_s))}/duo-auth-{page:05d}.json"
       blob = bucket.blob(key)
       blob.upload_from_string(
           json.dumps(payload, separators=(",", ":")).encode("utf-8"),
           content_type="application/json"
       )
       return key
   
   def fetch_and_store():
       now_s = int(time.time())
       # Duo recommends a ~2-minute delay buffer; use maxtime = now - 120 seconds (in ms)
       maxtime_ms = (now_s - 120) * 1000
       mintime_ms = _read_state_ms() or (maxtime_ms - 3600 * 1000)  # 1 hour on first run
   
       page = 0
       total = 0
       next_offset = None
   
       while True:
           params = {
               "mintime": mintime_ms,
               "maxtime": maxtime_ms,
               "limit": LIMIT
           }
           if next_offset:
               params["next_offset"] = next_offset
   
           data = _http("GET", "/admin/v2/logs/authentication", params)
           _write_page(data, maxtime_ms // 1000, page)
           page += 1
   
           resp = data.get("response")
           items = resp if isinstance(resp, list) else []
           total += len(items)
   
           meta = data.get("metadata") or {}
           next_offset = meta.get("next_offset")
           if not next_offset:
               break
   
       # Advance window to maxtime_ms for next run
       _write_state_ms(maxtime_ms)
   
       return {
           "ok": True,
           "pages": page,
           "events": total,
           "next_mintime_ms": maxtime_ms
       }
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Duo authentication logs and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
       try:
           result = fetch_and_store()
           print(f"Successfully processed {result['events']} events in {result['pages']} pages")
           print(f"Next mintime_ms: {result['next_mintime_ms']}")
       except Exception as e:
           print(f"Error processing logs: {str(e)}")
           raise
   

   • Secondo file: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   

3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

1. Nella console di GCP, vai a Cloud Scheduler.
2. Fai clic su Crea job.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome	duo-auth-collector-hourly
   Regione	Seleziona la stessa regione della funzione Cloud Run
   Frequenza	0 * * * * (ogni ora, all'ora)
   Fuso orario	Seleziona il fuso orario (UTC consigliato)
   Tipo di target	Pub/Sub
   Argomento	Seleziona l'argomento duo-auth-trigger
   Corpo del messaggio	{} (oggetto JSON vuoto)

4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

• Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

  Frequenza	Espressione cron	Caso d'uso
  Ogni 5 minuti	*/5 * * * *	Volume elevato, bassa latenza
  Ogni 15 minuti	*/15 * * * *	Volume medio
  Ogni ora	0 * * * *	Standard (consigliato)
  Ogni 6 ore	0 */6 * * *	Volume basso, elaborazione batch
  Ogni giorno	0 0 * * *	Raccolta dei dati storici

Testa il job di pianificazione

1. Nella console Cloud Scheduler, trova il job.
2. Fai clic su Forza esecuzione per attivare manualmente.
3. Attendi qualche secondo e vai a Cloud Run > Servizi > duo-auth-collector > Log.
4. Verifica che la funzione sia stata eseguita correttamente.
5. Controlla il bucket GCS per verificare che i log siano stati scritti.

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Duo Authentication Logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Duo Auth come Tipo di log.

7. Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: incolla l'email del service account Google SecOps.
   • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di autenticazione di Duo

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Duo Authentication Logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Duo Auth come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

     gs://duo-auth-logs/duo/auth/
     

     • Sostituisci:

       • duo-auth-logs: il nome del bucket GCS.
       • duo/auth/: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).

     • Esempi:

       • Bucket radice: gs://company-logs/
       • Con prefisso: gs://company-logs/duo-logs/
       • Con sottocartella: gs://company-logs/duo/auth/

   • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

     • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
     • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

     • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

   • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
access_device.browser	target.resource.attribute.labels.value	Se è presente access_device.browser, il relativo valore viene mappato all'UDM.
access_device.hostname	principal.hostname	Se access_device.hostname è presente e non vuoto, il suo valore viene mappato all'UDM. Se è vuoto e event_type è USER_CREATION, event_type viene modificato in USER_UNCATEGORIZED. Se access_device.hostname è vuoto ed esiste il campo hostname, viene utilizzato il valore di hostname.
access_device.ip	principal.ip	Se access_device.ip esiste ed è un indirizzo IPv4 valido, il suo valore viene mappato all'UDM. Se non è un indirizzo IPv4 valido, viene aggiunto come valore stringa a additional.fields con la chiave access_device.ip.
access_device.location.city	principal.location.city	Se presente, il valore viene mappato all'UDM.
access_device.location.country	principal.location.country_or_region	Se presente, il valore viene mappato all'UDM.
access_device.location.state	principal.location.state	Se presente, il valore viene mappato all'UDM.
access_device.os	principal.platform	Se presente, il valore viene convertito nel valore UDM corrispondente (MAC, WINDOWS, LINUX).
access_device.os_version	principal.platform_version	Se presente, il valore viene mappato all'UDM.
application.key	target.resource.id	Se presente, il valore viene mappato all'UDM.
application.name	target.application	Se presente, il valore viene mappato all'UDM.
auth_device.ip	target.ip	Se presente e non "None", il valore viene mappato all'UDM.
auth_device.location.city	target.location.city	Se presente, il valore viene mappato all'UDM.
auth_device.location.country	target.location.country_or_region	Se presente, il valore viene mappato all'UDM.
auth_device.location.state	target.location.state	Se presente, il valore viene mappato all'UDM.
auth_device.name	target.hostname OR target.user.phone_numbers	Se auth_device.name è presente ed è un numero di telefono (dopo la normalizzazione), viene aggiunto a target.user.phone_numbers. In caso contrario, viene mappato su target.hostname.
client_ip	target.ip	Se presente e non "None", il valore viene mappato all'UDM.
client_section	target.resource.attribute.labels.value	Se è presente client_section, il suo valore viene mappato all'UDM con la chiave client_section.
dn	target.user.userid	Se dn è presente e user.name e username non lo sono, l'ID utente viene estratto dal campo dn utilizzando grok e mappato all'UDM. event_type è impostato su USER_LOGIN.
event_type	metadata.product_event_type AND metadata.event_type	Il valore è mappato a metadata.product_event_type. Viene utilizzato anche per determinare il valore di metadata.event_type: "authentication" diventa USER_LOGIN, "enrollment" diventa USER_CREATION e, se è vuoto o nessuno dei due, diventa GENERIC_EVENT.
fattore	extensions.auth.mechanism AND extensions.auth.auth_details	Il valore viene convertito nel valore auth.mechanism UDM corrispondente (HARDWARE_KEY, REMOTE_INTERACTIVE, LOCAL, OTP). Il valore originale viene mappato anche su extensions.auth.auth_details.
nome host	principal.hostname	Se presente e access_device.hostname è vuoto, il valore viene mappato all'UDM.
log_format	target.resource.attribute.labels.value	Se log_format è presente, il suo valore viene mappato a UDM con la chiave log_format.
loglevel._classuuid_	target.resource.attribute.labels.value	Se è presente loglevel._classuuid_, il suo valore viene mappato all'UDM con la chiave class_uuid.
log_level.name	target.resource.attribute.labels.value AND security_result.severity	Se log_level.name è presente, il suo valore viene mappato all'UDM con il nome della chiave. Se il valore è "info", security_result.severity è impostato su INFORMATIONAL.
log_logger.unpersistable	target.resource.attribute.labels.value	Se è presente log_logger.unpersistable, il relativo valore viene mappato all'UDM con la chiave unpersistable.
log_namespace	target.resource.attribute.labels.value	Se log_namespace è presente, il suo valore viene mappato all'UDM con la chiave log_namespace.
log_source	target.resource.attribute.labels.value	Se log_source è presente, il relativo valore viene mappato all'UDM con la chiave log_source.
msg	security_result.summary	Se presente e il motivo è vuoto, il valore viene mappato all'UDM.
motivo	security_result.summary	Se presente, il valore viene mappato all'UDM.
risultato	security_result.action_details AND security_result.action	Se presente, il valore viene mappato a security_result.action_details. "success" o "SUCCESS" si traduce in security_result.action ALLOW, altrimenti BLOCK.
server_section	target.resource.attribute.labels.value	Se è presente server_section, il suo valore viene mappato all'UDM con la chiave server_section.
server_section_ikey	target.resource.attribute.labels.value	Se è presente server_section_ikey, il suo valore viene mappato all'UDM con la chiave server_section_ikey.
stato	security_result.action_details AND security_result.action	Se presente, il valore viene mappato a security_result.action_details. "Consenti" corrisponde a security_result.action ALLOW, mentre "Rifiuta" corrisponde a BLOCK.
timestamp	metadata.event_timestamp AND event.timestamp	Il valore viene convertito in un timestamp e mappato sia su metadata.event_timestamp che su event.timestamp.
txid	metadata.product_log_id AND network.session_id	Il valore è mappato sia a metadata.product_log_id che a network.session_id.
user.groups	target.user.group_identifiers	Tutti i valori dell'array vengono aggiunti a target.user.group_identifiers.
user.key	target.user.product_object_id	Se presente, il valore viene mappato all'UDM.
user.name	target.user.userid	Se presente, il valore viene mappato all'UDM.
nome utente	target.user.userid	Se presente e user.name non lo è, il valore viene mappato all'UDM. event_type è impostato su USER_LOGIN.
(Parser Logic)	metadata.vendor_name	Sempre impostato su "DUO_SECURITY".
(Parser Logic)	metadata.product_name	È sempre impostato su "MULTI-FACTOR_AUTHENTICATION".
(Parser Logic)	metadata.log_type	Estratto dal campo log_type di primo livello del log non elaborato.
(Parser Logic)	extensions.auth.type	È sempre impostato su "SSO".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.