收集 Duo 驗證記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 Duo 驗證記錄匯入 Google Security Operations。剖析器會從 JSON 格式的訊息中擷取記錄。這項服務會將原始記錄資料轉換為統一資料模型 (UDM),並對應使用者、裝置、應用程式、位置和驗證詳細資料等欄位,同時處理各種驗證因素和結果,將安全事件分類。剖析器也會執行資料清理、型別轉換和錯誤處理,確保資料品質和一致性。
你可以選擇下列兩種收集方法:
- 選項 1:使用第三方 API 直接擷取
- 方法 2:使用 Cloud Run 函式和 Google Cloud Storage 收集記錄
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Duo 管理面板的特殊存取權 (必須具備擁有者角色,才能建立 Admin API 應用程式)
- 使用選項 2 時,需要 GCP 的特殊存取權
方法 1:使用第三方 API 擷取 Duo 驗證記錄
收集 Duo 必要條件 (API 憑證)
- 以管理員身分登入 Duo 管理面板,並具備「擁有者」、「管理員」或「應用程式管理員」角色。
- 依序前往「應用程式」>「應用程式目錄」。
- 在目錄中找到「Admin API」項目。
- 按一下「+ 新增」建立應用程式。
- 複製並儲存以下詳細資料,存放在安全的位置:
- 整合金鑰
- 密鑰
- API 主機名稱 (例如
api-XXXXXXXX.duosecurity.com)
- 前往「權限」部分。
- 取消選取「授予讀取記錄」以外的所有權限選項。
- 按一下 [儲存變更]。
在 Google SecOps 中設定動態饋給,擷取 Duo 驗證記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「+ 新增動態消息」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Duo Authentication Logs)。 - 選取「第三方 API」做為「來源類型」。
- 選取「Duo Auth」做為「記錄類型」。
- 點選 [下一步]。
- 指定下列輸入參數的值:
- 使用者名稱:輸入 Duo 的整合金鑰。
- 密鑰:輸入 Duo 的密鑰。
- API 主機名稱:輸入 API 主機名稱 (例如
api-XXXXXXXX.duosecurity.com)。 - 資產命名空間:選用。資產命名空間。
- 擷取標籤:選用。要套用至這個動態饋給事件的標籤。
- 點選 [下一步]。
- 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
選項 2:使用 Google Cloud Storage 擷取 Duo 驗證記錄
收集 Duo Admin API 憑證
- 登入 Duo 管理面板。
- 依序前往「應用程式」>「應用程式目錄」。
- 在應用程式目錄中找到「Admin API」。
- 按一下「+ 新增」,新增 Admin API 應用程式。
- 複製並儲存下列值:
- 整合金鑰 (ikey)
- 密鑰 (skey)
- API 主機名稱 (例如
api-XXXXXXXX.duosecurity.com)
- 在「權限」中,啟用「授予讀取記錄」。
- 按一下 [儲存變更]。
建立 Google Cloud Storage 值區
- 前往 Google Cloud 控制台。
- 選取專案或建立新專案。
- 在導覽選單中,依序前往「Cloud Storage」>「Bucket」。
- 按一下「建立值區」。
請提供下列設定詳細資料:
設定 值 為 bucket 命名 輸入全域不重複的名稱 (例如 duo-auth-logs)位置類型 根據需求選擇 (區域、雙區域、多區域) 位置 選取位置 (例如 us-central1)儲存空間級別 標準 (建議用於經常存取的記錄) 存取控管 統一 (建議) 保護工具 選用:啟用物件版本管理或保留政策 點選「建立」。
為 Cloud Run 函式建立服務帳戶
Cloud Run 函式需要具備 GCS bucket 寫入權限的服務帳戶。
建立服務帳戶
- 在 GCP 主控台中,依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 按一下 [Create Service Account] (建立服務帳戶)。
- 請提供下列設定詳細資料:
- 服務帳戶名稱:輸入
duo-auth-collector-sa。 - 服務帳戶說明:輸入
Service account for Cloud Run function to collect Duo authentication logs。
- 服務帳戶名稱:輸入
- 按一下「建立並繼續」。
- 在「將專案存取權授予這個服務帳戶」部分,新增下列角色:
- 按一下「選擇角色」。
- 搜尋並選取「Storage 物件管理員」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Run Invoker」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
- 按一下「繼續」。
- 按一下 [完成]。
這些角色適用於:
- Storage 物件管理員:將記錄檔寫入 GCS 值區,並管理狀態檔案
- Cloud Run 叫用者:允許 Pub/Sub 叫用函式
- Cloud Functions 叫用者:允許函式叫用
授予 GCS 值區的 IAM 權限
授予服務帳戶 GCS bucket 的寫入權限:
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:輸入服務帳戶電子郵件地址 (例如
duo-auth-collector-sa@PROJECT_ID.iam.gserviceaccount.com)。 - 指派角色:選取「Storage 物件管理員」。
- 新增主體:輸入服務帳戶電子郵件地址 (例如
- 按一下 [儲存]。
建立 Pub/Sub 主題
建立 Pub/Sub 主題,Cloud Scheduler 會將訊息發布至該主題,而 Cloud Run 函式會訂閱該主題。
- 在 GCP Console 中,前往「Pub/Sub」>「Topics」(主題)。
- 按一下「建立主題」。
- 請提供下列設定詳細資料:
- 主題 ID:輸入
duo-auth-trigger。 - 其他設定保留預設值。
- 主題 ID:輸入
- 點選「建立」。
建立 Cloud Run 函式來收集記錄
Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發,從 Duo Admin API 擷取記錄並寫入 GCS。
- 前往 GCP Console 的「Cloud Run」。
- 按一下「Create service」(建立服務)。
- 選取「函式」 (使用內嵌編輯器建立函式)。
在「設定」部分,提供下列設定詳細資料:
設定 值 服務名稱 duo-auth-collector區域 選取與 GCS bucket 相符的區域 (例如 us-central1)執行階段 選取「Python 3.12」以上版本 在「Trigger (optional)」(觸發條件 (選用)) 專區:
- 按一下「+ 新增觸發條件」。
- 選取「Cloud Pub/Sub」。
- 在「選取 Cloud Pub/Sub 主題」中,選擇主題
duo-auth-trigger。 - 按一下 [儲存]。
在「Authentication」(驗證) 部分:
- 選取「需要驗證」。
- 檢查 Identity and Access Management (IAM)。
向下捲動並展開「Containers, Networking, Security」。
前往「安全性」分頁:
- 服務帳戶:選取服務帳戶
duo-auth-collector-sa。
- 服務帳戶:選取服務帳戶
前往「容器」分頁:
- 按一下「變數與密鑰」。
- 針對每個環境變數,按一下「+ 新增變數」:
變數名稱 範例值 GCS_BUCKETduo-auth-logsGCS_PREFIXduo/auth/STATE_KEYduo/auth/state.jsonDUO_IKEYDIXYZ...DUO_SKEY****************DUO_API_HOSTNAMEapi-XXXXXXXX.duosecurity.comLIMIT500在「變數與密鑰」分頁中向下捲動至「要求」:
- 要求逾時:輸入
600秒 (10 分鐘)。
- 要求逾時:輸入
前往「容器」中的「設定」分頁:
- 在「資源」部分:
- 記憶體:選取 512 MiB 以上。
- CPU:選取 1。
- 按一下 [完成]。
- 在「資源」部分:
捲動至「執行環境」:
- 選取「預設」 (建議選項)。
在「修訂版本資源調度」部分:
- 執行個體數量下限:輸入
0。 - 「Maximum number of instances」(執行個體數量上限):輸入
100(或根據預期負載調整)。
- 執行個體數量下限:輸入
點選「建立」。
等待服務建立完成 (1 到 2 分鐘)。
服務建立完成後,系統會自動開啟內嵌程式碼編輯器。
新增函式程式碼
- 在「Function entry point」(函式進入點) 中輸入 main
在內嵌程式碼編輯器中建立兩個檔案:
- 第一個檔案:main.py:
#!/usr/bin/env python3 # Cloud Run Function: Pull Duo Admin API v2 Authentication Logs to GCS (raw JSON pages) # Notes: # - Duo v2 requires mintime/maxtime in *milliseconds* (13-digit epoch). # - Pagination via metadata.next_offset ("<millis>,<txid>"). # - We save state (mintime_ms) in ms to resume next run without gaps. import functions_framework from google.cloud import storage import os import json import time import hmac import hashlib import base64 import email.utils import urllib.parse from urllib.request import Request, urlopen from urllib.error import HTTPError, URLError DUO_IKEY = os.environ["DUO_IKEY"] DUO_SKEY = os.environ["DUO_SKEY"] DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip() GCS_BUCKET = os.environ["GCS_BUCKET"] GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/auth/").strip("/") STATE_KEY = os.environ.get("STATE_KEY", "duo/auth/state.json") LIMIT = min(int(os.environ.get("LIMIT", "500")), 1000) # default 500, max 1000 storage_client = storage.Client() def _canon_params(params: dict) -> str: parts = [] for k in sorted(params.keys()): v = params[k] if v is None: continue parts.append(f"{urllib.parse.quote(str(k), '~')}={urllib.parse.quote(str(v), '~')}") return "&".join(parts) def _sign(method: str, host: str, path: str, params: dict) -> dict: now = email.utils.formatdate() canon = "\n".join([ now, method.upper(), host.lower(), path, _canon_params(params) ]) sig = hmac.new( DUO_SKEY.encode("utf-8"), canon.encode("utf-8"), hashlib.sha1 ).hexdigest() auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode()).decode() return { "Date": now, "Authorization": f"Basic {auth}" } def _http(method: str, path: str, params: dict, timeout: int = 60, max_retries: int = 5) -> dict: host = DUO_API_HOSTNAME assert host.startswith("api-") and host.endswith(".duosecurity.com"), \ "DUO_API_HOSTNAME must be like api-XXXXXXXX.duosecurity.com" qs = _canon_params(params) url = f"https://{host}{path}" + (f"?{qs}" if qs else "") attempt, backoff = 0, 1.0 while True: req = Request(url, method=method.upper()) req.add_header("Accept", "application/json") for k, v in _sign(method, host, path, params).items(): req.add_header(k, v) try: with urlopen(req, timeout=timeout) as r: return json.loads(r.read().decode("utf-8")) except HTTPError as e: if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries: time.sleep(backoff) attempt += 1 backoff *= 2 continue raise except URLError: if attempt < max_retries: time.sleep(backoff) attempt += 1 backoff *= 2 continue raise def _read_state_ms() -> int | None: try: bucket = storage_client.bucket(GCS_BUCKET) blob = bucket.blob(STATE_KEY) if blob.exists(): state_data = blob.download_as_text() val = json.loads(state_data).get("mintime") if val is None: return None # Backward safety: if seconds were stored, convert to ms return int(val) * 1000 if len(str(int(val))) <= 10 else int(val) except Exception: return None def _write_state_ms(mintime_ms: int): bucket = storage_client.bucket(GCS_BUCKET) blob = bucket.blob(STATE_KEY) body = json.dumps({"mintime": int(mintime_ms)}).encode("utf-8") blob.upload_from_string(body, content_type="application/json") def _write_page(payload: dict, when_epoch_s: int, page: int) -> str: bucket = storage_client.bucket(GCS_BUCKET) key = f"{GCS_PREFIX}/{time.strftime('%Y/%m/%d', time.gmtime(when_epoch_s))}/duo-auth-{page:05d}.json" blob = bucket.blob(key) blob.upload_from_string( json.dumps(payload, separators=(",", ":")).encode("utf-8"), content_type="application/json" ) return key def fetch_and_store(): now_s = int(time.time()) # Duo recommends a ~2-minute delay buffer; use maxtime = now - 120 seconds (in ms) maxtime_ms = (now_s - 120) * 1000 mintime_ms = _read_state_ms() or (maxtime_ms - 3600 * 1000) # 1 hour on first run page = 0 total = 0 next_offset = None while True: params = { "mintime": mintime_ms, "maxtime": maxtime_ms, "limit": LIMIT } if next_offset: params["next_offset"] = next_offset data = _http("GET", "/admin/v2/logs/authentication", params) _write_page(data, maxtime_ms // 1000, page) page += 1 resp = data.get("response") items = resp if isinstance(resp, list) else [] total += len(items) meta = data.get("metadata") or {} next_offset = meta.get("next_offset") if not next_offset: break # Advance window to maxtime_ms for next run _write_state_ms(maxtime_ms) return { "ok": True, "pages": page, "events": total, "next_mintime_ms": maxtime_ms } @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Duo authentication logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ try: result = fetch_and_store() print(f"Successfully processed {result['events']} events in {result['pages']} pages") print(f"Next mintime_ms: {result['next_mintime_ms']}") except Exception as e: print(f"Error processing logs: {str(e)}") raise- 第二個檔案:requirements.txt:
functions-framework==3.* google-cloud-storage==2.*點選「部署」來儲存並部署函式。
等待部署作業完成 (2 到 3 分鐘)。
建立 Cloud Scheduler 工作
Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題,觸發 Cloud Run 函式。
- 前往 GCP 主控台的「Cloud Scheduler」。
- 點選「建立工作」。
請提供下列設定詳細資料:
設定 值 名稱 duo-auth-collector-hourly區域 選取與 Cloud Run 函式相同的區域 頻率 0 * * * *(每小時整點)時區 選取時區 (建議使用世界標準時間) 目標類型 Pub/Sub 主題 選取主題 duo-auth-trigger郵件內文 {}(空白 JSON 物件)點選「建立」。
排程頻率選項
根據記錄檔量和延遲時間要求選擇頻率:
頻率 Cron 運算式 用途 每 5 分鐘 */5 * * * *高容量、低延遲 每 15 分鐘檢查一次 */15 * * * *普通量 每小時 0 * * * *標準 (建議採用) 每 6 小時 0 */6 * * *少量、批次處理 每日 0 0 * * *歷來資料集合
測試排程器工作
- 在 Cloud Scheduler 控制台中找出您的工作。
- 按一下「強制執行」即可手動觸發。
- 等待幾秒鐘,然後依序前往「Cloud Run」>「Services」(服務) >「duo-auth-collector」>「Logs」(記錄)。
- 確認函式是否已順利執行。
- 檢查 GCS 值區,確認是否已寫入記錄。
擷取 Google SecOps 服務帳戶
Google SecOps 會使用專屬服務帳戶,從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。
取得服務帳戶電子郵件地址
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Duo Authentication Logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Duo Auth」做為「記錄類型」。
按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址,例如:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com複製這個電子郵件地址,以便在下一步中使用。
將 IAM 權限授予 Google SecOps 服務帳戶
Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件檢視者」。
按一下 [儲存]。
在 Google SecOps 中設定動態饋給,擷取 Duo 驗證記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Duo Authentication Logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Duo Auth」做為「記錄類型」。
- 點選 [下一步]。
指定下列輸入參數的值:
儲存空間 bucket URL:輸入 GCS bucket URI,並加上前置路徑:
gs://duo-auth-logs/duo/auth/取代:
duo-auth-logs:您的 GCS bucket 名稱。duo/auth/:儲存記錄的選用前置字元/資料夾路徑 (如為根目錄,請留空)。
範例:
- 根層級 bucket:
gs://company-logs/ - 前置字串:
gs://company-logs/duo-logs/ - 有子資料夾:
gs://company-logs/duo/auth/
- 根層級 bucket:
來源刪除選項:根據偏好設定選取刪除選項:
- 永不:移轉後一律不刪除任何檔案 (建議用於測試)。
- 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選 [下一步]。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| access_device.browser | target.resource.attribute.labels.value | 如果存在 access_device.browser,系統會將其值對應至 UDM。 |
| access_device.hostname | principal.hostname | 如果 access_device.hostname 存在且不為空值,系統會將其值對應至 UDM。如果這個欄位空白,且 event_type 為 USER_CREATION,則 event_type 會變更為 USER_UNCATEGORIZED。如果 access_device.hostname 為空,且存在 hostname 欄位,系統會使用 hostname 的值。 |
| access_device.ip | principal.ip | 如果 access_device.ip 存在且為有效的 IPv4 位址,系統會將其值對應至 UDM。如果不是有效的 IPv4 位址,系統會將其做為字串值,新增至 additional.fields,並使用鍵 access_device.ip。 |
| access_device.location.city | principal.location.city | 如有,系統會將該值對應至 UDM。 |
| access_device.location.country | principal.location.country_or_region | 如有,系統會將該值對應至 UDM。 |
| access_device.location.state | principal.location.state | 如有,系統會將該值對應至 UDM。 |
| access_device.os | principal.platform | 如果存在,該值會轉換為對應的 UDM 值 (MAC、WINDOWS、LINUX)。 |
| access_device.os_version | principal.platform_version | 如有,系統會將該值對應至 UDM。 |
| application.key | target.resource.id | 如有,系統會將該值對應至 UDM。 |
| application.name | target.application | 如有,系統會將該值對應至 UDM。 |
| auth_device.ip | target.ip | 如果存在且不是「None」,則該值會對應至 UDM。 |
| auth_device.location.city | target.location.city | 如有,系統會將該值對應至 UDM。 |
| auth_device.location.country | target.location.country_or_region | 如有,系統會將該值對應至 UDM。 |
| auth_device.location.state | target.location.state | 如有,系統會將該值對應至 UDM。 |
| auth_device.name | target.hostname 或 target.user.phone_numbers | 如果 auth_device.name 存在且是電話號碼 (經過正規化),系統會將其新增至 target.user.phone_numbers。否則會對應至 target.hostname。 |
| client_ip | target.ip | 如果存在且不是「None」,則該值會對應至 UDM。 |
| client_section | target.resource.attribute.labels.value | 如果存在 client_section,系統會將其值對應至 UDM,並使用鍵 client_section。 |
| dn | target.user.userid | 如果存在 dn,但不存在 user.name 和 username,系統會使用 grok 從 dn 欄位擷取 userid,並對應至 UDM。event_type 設為 USER_LOGIN。 |
| event_type | metadata.product_event_type 和 metadata.event_type | 這個值會對應至 metadata.product_event_type。這項屬性也會用來判斷 metadata.event_type:「authentication」會變成 USER_LOGIN,「enrollment」會變成 USER_CREATION,如果這項屬性空白或不是上述任一值,則會變成 GENERIC_EVENT。 |
| 因素 | extensions.auth.mechanism 和 extensions.auth.auth_details | 這個值會轉換為對應的 UDM auth.mechanism 值 (HARDWARE_KEY、REMOTE_INTERACTIVE、LOCAL、OTP)。原始值也會對應至 extensions.auth.auth_details。 |
| 主機名稱 | principal.hostname | 如果存在且 access_device.hostname 為空,則該值會對應至 UDM。 |
| log_format | target.resource.attribute.labels.value | 如果存在 log_format,系統會將其值對應至 UDM,並使用 log_format 做為鍵。 |
| loglevel._classuuid_ | target.resource.attribute.labels.value | 如果存在 loglevel._classuuid_,系統會將其值對應至 UDM,並使用 class_uuid 鍵。 |
| log_level.name | target.resource.attribute.labels.value AND security_result.severity | 如果 log_level.name 存在,系統會將其值對應至 UDM,並使用該鍵名。如果值為「info」,security_result.severity 會設為 INFORMATIONAL。 |
| log_logger.unpersistable | target.resource.attribute.labels.value | 如果存在 log_logger.unpersistable,系統會將其值對應至 UDM,並使用鍵 unpersistable。 |
| log_namespace | target.resource.attribute.labels.value | 如果存在 log_namespace,其值會對應至 UDM,並以 log_namespace 做為鍵。 |
| log_source | target.resource.attribute.labels.value | 如果存在 log_source,系統會將其值對應至 UDM,並使用 log_source 做為鍵。 |
| msg | security_result.summary | 如果存在且原因為空白,則值會對應至 UDM。 |
| 原因 | security_result.summary | 如有,系統會將該值對應至 UDM。 |
| 結果 | security_result.action_details 和 security_result.action | 如有,則會將值對應至 security_result.action_details。「success」或「SUCCESS」會轉譯為 security_result.action ALLOW,否則為 BLOCK。 |
| server_section | target.resource.attribute.labels.value | 如果存在 server_section,其值會對應至 UDM,並以 server_section 做為鍵。 |
| server_section_ikey | target.resource.attribute.labels.value | 如果存在 server_section_ikey,系統會將其值對應至 UDM,並使用 server_section_ikey 做為鍵。 |
| 狀態 | security_result.action_details 和 security_result.action | 如有,則會將值對應至 security_result.action_details。「允許」會轉譯為 security_result.action ALLOW,「拒絕」則會轉譯為 BLOCK。 |
| 時間戳記 | metadata.event_timestamp 和 event.timestamp | 該值會轉換為時間戳記,並對應至 metadata.event_timestamp 和 event.timestamp。 |
| txid | metadata.product_log_id 和 network.session_id | 這個值會對應至 metadata.product_log_id 和 network.session_id。 |
| user.groups | target.user.group_identifiers | 陣列中的所有值都會新增至 target.user.group_identifiers。 |
| user.key | target.user.product_object_id | 如有,系統會將該值對應至 UDM。 |
| user.name | target.user.userid | 如有,系統會將該值對應至 UDM。 |
| 使用者名稱 | target.user.userid | 如果存在但沒有 user.name,系統會將值對應至 UDM。event_type 設為 USER_LOGIN。 |
| (剖析器邏輯) | metadata.vendor_name | 一律設為「DUO_SECURITY」。 |
| (剖析器邏輯) | metadata.product_name | 一律設為「MULTI-FACTOR_AUTHENTICATION」。 |
| (剖析器邏輯) | metadata.log_type | 取自原始記錄的頂層 log_type 欄位。 |
| (剖析器邏輯) | extensions.auth.type | 一律設為「SSO」。 |
需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。