Ergon Informatik Airlock IAM-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Ergon Informatik Airlock IAM-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Airlock IAM ist eine Lösung für die Identitäts- und Zugriffsverwaltung, die Authentifizierungs-, Autorisierungs- und Self-Service-Funktionen für Nutzer bietet. Es werden strukturierte JSON-Logs für Authentifizierungsereignisse, Nutzeraktivitäten, Audit-Logs und administrative Aktionen in den Modulen „Loginapp“, „Adminapp“, „Transaction Approval“, „Service Container“ und „API Policy Service“ generiert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder ein Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem Airlock IAM-Server
  • Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
  • Administratorzugriff auf die Airlock IAM-Instanz
  • SSH- oder Konsolenzugriff auf den Airlock IAM-Server zum Bearbeiten von Konfigurationsdateien

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.

  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.

  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

    Der Dienststatus sollte RUNNING lauten.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

    Der Dienststatus sollte active (running) lauten.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  1. Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/airlock_iam:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: production
            source: airlock_iam

service:
    pipelines:
        logs/airlock_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam

  2. Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • listen_address: Auf 0.0.0.0:514 setzen, um alle Schnittstellen auf Port 51 zu überwachen. Verwenden Sie für Linux-Systeme, die nicht als Root ausgeführt werden, den Port 1514 oder höher.

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Ersetzen Sie diesen Wert durch Ihre Google SecOps-Kunden-ID aus dem vorherigen Schritt.

      • endpoint: Regionale Endpunkt-URL:

        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com

      • ingestion_labels: Optionale Labels zum Kategorisieren von Logs (nach Bedarf ändern)

Beispielkonfiguration für Windows

  • receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/airlock_iam:
        compression: gzip
        creds_file_path: 'C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json'
        customer_id: 'a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: production
            source: airlock_iam

service:
    pipelines:
        logs/airlock_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • So starten Sie den Bindplane-Agent unter Linux neu:

    1. Führen Sie dazu diesen Befehl aus:

      sudo systemctl restart observiq-otel-collector

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    3. Logs auf Fehler prüfen:

      sudo journalctl -u observiq-otel-collector -f

  • So starten Sie den Bindplane-Agent unter Windows neu:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Eingabeaufforderung oder PowerShell als Administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Services-Konsole:

        1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
        2. Suchen Sie nach observIQ OpenTelemetry Collector.
        3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sc query observiq-otel-collector

    3. Logs auf Fehler prüfen:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Airlock IAM konfigurieren

  1. Stellen Sie eine Verbindung zum Airlock IAM-Server über SSH oder Konsolenzugriff her.

  2. Rufen Sie das Instanzverzeichnis auf:

    cd /opt/airlock/iam/instances/<instance_name>/

  3. Bearbeiten Sie die Log4j-Konfigurationsdatei für alle Module:

    nano log4j/all-modules.xml

  4. Fügen Sie die Syslog-Appender-Konfiguration im Abschnitt <Appenders> hinzu:

    <Syslog name="SYSLOG" 
        facility="LOCAL1" 
        host="BINDPLANE_AGENT_IP" 
        port="514" 
        protocol="UDP" 
        format="RFC5424" 
        includeMDC="true" 
        mdcId="mdc" 
        newLine="true">
    <ExceptionPattern>%ex{full}</ExceptionPattern>
    <ThresholdFilter level="INFO"/>
</Syslog>

  5. Konfigurieren Sie die Syslog-Appender-Parameter:

    • host: Ersetzen Sie BINDPLANE_AGENT_IP durch die IP-Adresse des Bindplane-Agent-Hosts (z. B. 192.168.1.100).
    • port: Auf 514 festgelegt (oder 1514, wenn der Bindplane-Agent für einen nicht privilegierten Port konfiguriert ist)
    • protocol: Auf UDP festlegen (oder TCP, wenn Sie einen tcplog-Empfänger in Bindplane konfiguriert haben)
    • format: Auf RFC5424 für strukturiertes Syslog-Format festlegen
    • facility: Auf LOCAL1 festgelegt (oder ein anderer Einrichtungscode nach Bedarf: LOCAL0 bis LOCAL7)
    • ThresholdFilter-Ebene: Legen Sie INFO fest, um Logs mit dem Schweregrad „INFO“ und höher zu senden, oder DEBUG für alle Logs.

  6. Fügen Sie die Appender-Referenz im Logger-Abschnitt <Root> hinzu:

    <Loggers>
  <Root level="${sys:iam.log.level}">
    <AppenderRef ref="SYSLOG"/>
  </Root>
</Loggers>

  7. Vollständige Beispielkonfiguration:

    <?xml version="1.0" encoding="UTF-8"?>
<Configuration name="Custom Log4j 2 Configuration for All IAM Modules">
  <Appenders>
    <Syslog name="SYSLOG" 
            facility="LOCAL1" 
            host="192.168.1.100" 
            port="514" 
            protocol="UDP" 
            format="RFC5424" 
            includeMDC="true" 
            mdcId="mdc" 
            newLine="true">
      <ExceptionPattern>%ex{full}</ExceptionPattern>
      <ThresholdFilter level="INFO"/>
    </Syslog>
  </Appenders>
  <Loggers>
    <Root level="${sys:iam.log.level}">
      <AppenderRef ref="SYSLOG"/>
    </Root>
  </Loggers>
</Configuration>

  8. Konfigurationsdatei speichern:

    Drücke Ctrl+O, dann Enter und dann Ctrl+X.

  9. Die Log4j-Konfiguration wird standardmäßig alle 60 Sekunden auf Änderungen überwacht. Die neue Syslog-Weiterleitung wird automatisch aktiviert, ohne dass ein Neustart erforderlich ist.

  10. Prüfen Sie, ob Logs an den Bindplane-Agent gesendet werden:

    sudo journalctl -u observiq-otel-collector -f

  11. Prüfen Sie, ob Logs in Google SecOps eingehen:

    1. Melden Sie sich in der Google SecOps-Konsole an.
    2. Rufen Sie SIEM > Suche auf.

    3. Suchanfrage ausführen:

      metadata.log_type = "ERGON_INFORMATIK_AIRLOCK_IAM"

    4. Prüfen Sie, ob Airlock IAM-Logs in den Suchergebnissen angezeigt werden.

Zusätzliche Konfigurationsoptionen

TCP-Syslog anstelle von UDP konfigurieren

Wenn Sie die TCP-Übertragung anstelle von UDP bevorzugen:

  1. Ändern Sie im BindPlane-Agent in der Datei config.yaml den Empfänger in tcplog:

    receivers:
  tcplog:
    listen_address: "0.0.0.0:514"

  2. Ändern Sie in der Airlock IAM-Datei log4j/all-modules.xml das Protokoll zu TCP:

    <Syslog name="SYSLOG" 
        facility="LOCAL1" 
        host="192.168.1.100" 
        port="514" 
        protocol="TCP" 
        format="RFC5424" 
        includeMDC="true" 
        mdcId="mdc" 
        newLine="true">
  <ExceptionPattern>%ex{full}</ExceptionPattern>
  <ThresholdFilter level="INFO"/>
</Syslog>

  3. Starten Sie den Bindplane-Agent neu, um die Empfängeränderung zu übernehmen.

Verschiedene Protokollebenen konfigurieren

  • So senden Sie nur Logs mit dem Schweregrad „WARNUNG“ und höher:

    <ThresholdFilter level="WARN"/>

  • So senden Sie alle Logs, einschließlich DEBUG:

    <ThresholdFilter level="DEBUG"/>

Verfügbare Logebenen, vom niedrigsten zum höchsten Schweregrad:

  • TRACE
  • DEBUG
  • INFO
  • WARN
  • ERROR
  • FATAL

Mehrere Airlock IAM-Instanzen konfigurieren

  • Wenn Sie mehrere Airlock IAM-Instanzen haben, die Daten an denselben Bindplane-Agent senden, verwenden Sie Ingestion-Labels, um sie zu unterscheiden:

    exporters:
    chronicle/airlock_iam_prod:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: production
            instance: prod-iam-01

    chronicle/airlock_iam_dev:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: ERGON_INFORMATIK_AIRLOCK_IAM
        raw_log_field: body
        ingestion_labels:
            env: development
            instance: dev-iam-01

service:
    pipelines:
        logs/airlock_prod:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam_prod

        logs/airlock_dev:
            receivers:
                - udplog
            exporters:
                - chronicle/airlock_iam_dev

Fehlerbehebung

Logs werden nicht in Google SecOps angezeigt

  1. Prüfen Sie, ob der Bindplane-Agent Logs empfängt:

    sudo journalctl -u observiq-otel-collector -f

  2. Prüfen Sie die Netzwerkverbindung von Airlock IAM zum Bindplane-Agent:

    telnet BINDPLANE_AGENT_IP 514

  3. Prüfen Sie, ob die Log4j-Konfiguration gültig ist:

    cat /opt/airlock/iam/instances/<instance_name>/log4j/all-modules.xml

  4. Prüfen Sie die Airlock IAM-Logs auf Fehler:

    tail -f /opt/airlock/iam/instances/<instance_name>/logs/loginapp.log

Bindplane-Agent-Fehler

  1. Bindplane-Agent-Logs auf Fehler prüfen:

    sudo journalctl -u observiq-otel-collector -n 100

  2. Prüfen Sie, ob die Syntax von config.yaml korrekt ist. Bei YAML ist die Einrückung wichtig.

  3. Prüfen Sie, ob der Dateipfad für die Aufnahmeauthentifizierung korrekt ist und ob die Datei vorhanden ist.

  4. Netzwerkkonnektivität zum Google SecOps-Endpunkt testen:

    curl -v https://malachiteingestion-pa.googleapis.com

Firewallkonfiguration

Prüfen Sie, ob die folgenden Firewallregeln konfiguriert sind:

Eingehend an Bindplane-Agent:

  • Protokoll: UDP (oder TCP, wenn „tcplog“ verwendet wird)
  • Port: 514 (oder der von Ihnen konfigurierte Port)
  • Quelle: IP-Adresse des Airlock IAM-Servers

Ausgehend vom BindPlane-Agent:

  • Protokoll: HTTPS (TCP 443)
  • Ziel: regionaler Google SecOps-Endpunkt
  • Zweck: Protokollbereitstellung für Google SecOps

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
expire_time additional.fields Wird als Label mit dem Schlüssel „expire_time“ zusammengeführt, falls nicht leer.
Mobil additional.fields Wird als Label mit dem Schlüssel „mobile“ zusammengeführt, sofern nicht leer
sn additional.fields Wird als Label mit dem Schlüssel „sn“ zusammengeführt, wenn es nicht leer ist.
CONFIG_CONTEXT additional.fields Wird als Label mit dem Schlüssel „CONFIG_CONTEXT“ zusammengeführt, sofern nicht leer
department additional.fields Wird als Label mit dem Schlüssel „department“ zusammengeführt, wenn es nicht leer ist.
ctxData additional.fields Wird als Label mit dem Schlüssel „ctxData“ zusammengeführt, wenn es nicht leer ist.
displayLanguage additional.fields Wird als Label mit dem Schlüssel „displayLanguage“ zusammengeführt, wenn es nicht leer ist.
nrPwdTrialsForUserDeletion additional.fields Wird als Label mit dem Schlüssel „nrPwdTrialsForUserDeletion“ zusammengeführt, falls nicht leer
authInstant additional.fields Wird als Label mit dem Schlüssel „authInstant“ zusammengeführt, wenn es nicht leer ist.
auditToken additional.fields Wird als Label mit dem Schlüssel „auditToken“ zusammengeführt, falls nicht leer
authPlugin additional.fields Wird als Label mit dem Schlüssel „authPlugin“ zusammengeführt, wenn es nicht leer ist.
latestIdPropagation additional.fields Wird als Label mit dem Schlüssel „latestIdPropagation“ zusammengeführt, wenn es nicht leer ist.
Dienst additional.fields Wird als Label mit dem Schlüssel „service“ zusammengeführt, sofern nicht leer
ldap_type additional.fields Wird als Label mit dem Schlüssel „ldap_type“ zusammengeführt, sofern nicht leer
report_message additional.fields Wird als Label mit dem Schlüssel „report_message“ zusammengeführt, wenn es nicht leer ist.
authenteeProvidedId additional.fields Wird als Label mit dem Schlüssel „authenteeProvidedId“ zusammengeführt, wenn es nicht leer ist.
representerId additional.fields Wird als Label mit dem Schlüssel „representerId“ zusammengeführt, wenn es nicht leer ist.
Engine additional.fields Wird als Label mit dem Schlüssel „engine“ zusammengeführt, sofern nicht leer
channel additional.fields Wird als Label mit dem Schlüssel „channel“ zusammengeführt, wenn es nicht leer ist.
authnFactor additional.fields Wird als Label mit dem Schlüssel „authnFactor“ zusammengeführt, sofern nicht leer.
authnFactorDetail additional.fields Wird als Label mit dem Schlüssel „authnFactorDetail“ zusammengeführt, wenn es nicht leer ist.
required_roles additional.fields Wird als Label mit dem Schlüssel „required_roles“ zusammengeführt, wenn es nicht leer ist
target_pattern additional.fields Wird als Label mit dem Schlüssel „target_pattern“ zusammengeführt, wenn es nicht leer ist.
nameid additional.fields Wird als Label mit dem Schlüssel „nameid“ zusammengeführt, falls nicht leer
plugin_name additional.fields Wird als Label mit dem Schlüssel „plugin_name“ zusammengeführt, wenn es nicht leer ist.
Mechanismus additional.fields Wird als Label mit dem Schlüssel „mechanism“ zusammengeführt, sofern nicht leer.
new_session_id additional.fields Wird als Label mit dem Schlüssel „new_session_id“ zusammengeführt, wenn es nicht leer ist.
former_session_id additional.fields Wird als Label mit dem Schlüssel „former_session_id“ zusammengeführt, wenn es nicht leer ist.
req_id additional.fields Wird als Label mit dem Schlüssel „req_id“ zusammengeführt, falls nicht leer.
auth_method additional.fields Wird als Label mit dem Schlüssel „auth_method“ zusammengeführt, wenn es nicht leer ist.
otp additional.fields Wird als Label mit dem Schlüssel „otp“ zusammengeführt, wenn es nicht leer ist.
mob_num additional.fields Wird als Label mit dem Schlüssel „mob_num“ zusammengeführt, wenn es nicht leer ist.
jsessionid additional.fields Wird als Label mit dem Schlüssel „jsessionid“ zusammengeführt, wenn es nicht leer ist.
Erstellungsdatum additional.fields Wird als Label mit dem Schlüssel „creationDate“ zusammengeführt, sofern nicht leer.
lastLogin additional.fields Wird als Label mit dem Schlüssel „lastLogin“ zusammengeführt, wenn es nicht leer ist.
accountStatus additional.fields Wird als Label mit dem Schlüssel „accountStatus“ zusammengeführt, falls nicht leer
companyAdministrator additional.fields Wird als Label mit dem Schlüssel „companyAdministrator“ zusammengeführt, wenn es nicht leer ist.
companyCustomer additional.fields Wird als Label mit dem Schlüssel „companyCustomer“ zusammengeführt, wenn es nicht leer ist.
privateCustomer additional.fields Wird als Label mit dem Schlüssel „privateCustomer“ zusammengeführt, wenn es nicht leer ist.
otpNotifyChannel additional.fields Wird als Label mit dem Schlüssel „otpNotifyChannel“ zusammengeführt, wenn es nicht leer ist.
nas_identifier additional.fields Wird als Label mit dem Schlüssel „nas_identifier“ zusammengeführt, wenn es nicht leer ist.
session_id additional.fields Wird als Label mit dem Schlüssel „session_id“ zusammengeführt, wenn es nicht leer ist.
authPluginClassName extensions.auth.auth_details Wert wird direkt kopiert, falls vorhanden
authenticator_type extensions.auth.auth_details Wert wird direkt kopiert, wenn er vorhanden ist und authPluginClassName leer ist
logon_type extensions.auth.mechanism Wert direkt kopiert
Vermittler Aus Zwischenobjekt zusammengeführt
FORWARD_LOCATION intermediary.url Wert direkt kopiert
metadata_description metadata.description Wert direkt kopiert
metadata.event_type Wird basierend auf dem Ereigniskontext festgelegt und durch die Parserlogik bestimmt.
REQUEST_ID metadata.product_log_id Wert direkt kopiert
airlock_version metadata.product_version Wert direkt kopiert
method network.http.method Wert direkt kopiert
user_agent network.http.user_agent Wert direkt kopiert
packet_size network.received_packets In Ganzzahl konvertierter Wert
GSID network.session_id Wert direkt kopiert
Host principal.hostname Wert direkt kopiert
CLIENT_IP principal.ip Wert direkt kopiert
UID principal.user.userid Wert direkt kopiert
role_name role.name Wert direkt kopiert
authenteeType role.type Wert direkt kopiert
security_result Zusammengeführt aus dem Objekt „security_result“
Aktion security_result.action_details Wert wird direkt kopiert, falls vorhanden
authMethodShortDesc security_result.action_details Wert wird zusammengeführt, falls vorhanden
action_detail security_result.action_details Wert wird zusammengeführt, falls vorhanden
category_value security_result.category Wert direkt kopiert
actionGroup security_result.category_details Wert direkt kopiert
result_description security_result.description Wert direkt kopiert
exception security_result.summary Wert wird direkt kopiert, falls vorhanden
STATLOG security_result.summary Wert wird direkt kopiert, wenn er vorhanden ist und die Ausnahme leer ist
mob_num src.asset.type Wert direkt kopiert
mail src.email Wert wird direkt kopiert, falls vorhanden
E-Mail src.email Wert wird direkt kopiert, wenn er vorhanden ist und die E-Mail leer ist
src_ip src.ip Wert direkt kopiert
src_port src.port In Ganzzahl konvertierter Wert
Rolle src.user.attribute.roles Wert direkt kopiert
Unternehmen src.user.company_name Wert direkt kopiert
firstName src.user.first_name Wert direkt kopiert
lastName src.user.last_name Wert direkt kopiert
Status src.user.user_authentication_status Wert direkt kopiert
displayName src.user.user_display_name Wert wird direkt kopiert, falls vorhanden
Nutzername src.user.user_display_name Der Wert wird direkt kopiert, wenn er vorhanden ist und displayName leer ist.
src_user src.user.user_display_name Der Wert wird direkt kopiert, wenn er vorhanden ist und displayName/username leer sind.
authenteeId src.user.userid Wert wird direkt kopiert, falls vorhanden
src_userid src.user.userid Wert wird direkt kopiert, wenn er vorhanden ist und „authenteeId“ leer ist
UID src.user.userid Der Wert wird direkt kopiert, wenn er vorhanden ist und „authenteeId“/„src_userid“ leer sind.
file_path target.file.full_path Wert direkt kopiert
target_hostname target.hostname Wert direkt kopiert
target_port target.port In Ganzzahl konvertierter Wert
task_name target.resource.name Wert direkt kopiert
target_url target.url Wert direkt kopiert
metadata.product_name Auf „Ergon Informatik Airlock IAM“ festlegen
metadata.vendor_name Auf „Ergon Informatik“ festgelegt

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten