Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Forcepoint Web Security

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Forcepoint Web Security ke Google Security Operations menggunakan Bindplane.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd untuk agen Bindplane
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke konsol pengelolaan Forcepoint Web Security atau Forcepoint Security Manager
Konektivitas jaringan antara Forcepoint Web Security dan host agen Bindplane
Forcepoint Web Security versi 7.8 atau yang lebih baru (direkomendasikan untuk dukungan format CEF)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Anda dapat mengonfigurasi agen BindPlane untuk menerima pesan syslog melalui TCP atau UDP. Pilih protokol yang paling sesuai dengan lingkungan dan persyaratan jaringan Anda.

Pilih protokol Anda

TCP (Direkomendasikan untuk keandalan): Menyediakan pengiriman dan cocok untuk sebagian besar lingkungan. Gunakan TCP jika pengiriman log yang andal sangat penting dan Anda ingin memastikan tidak ada log yang hilang karena masalah jaringan.
UDP (Direkomendasikan untuk performa): Menawarkan latensi yang lebih rendah dan overhead yang lebih kecil. Gunakan UDP jika throughput tinggi diperlukan dan kehilangan log sesekali dapat diterima.

Mengonfigurasi agen BindPlane

Akses File Konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml dengan konfigurasi untuk protokol yang Anda pilih:

Opsi A: Konfigurasi TCP (Direkomendasikan)

receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

Opsi B: Konfigurasi UDP

receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda (defaultnya adalah 0.0.0.0:514).

Catatan: Port 514 adalah port syslog standar. Jika port ini sudah digunakan atau dibatasi, pilih port alternatif (misalnya, 1514, 5514) dan konfigurasi port yang sama di Forcepoint Web Security.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```
Untuk memverifikasi bahwa agen berjalan di Linux, jalankan perintah berikut:
```
sudo systemctl status observiq-otel-collector
```
Untuk memverifikasi bahwa agen berjalan di Windows, jalankan perintah berikut:
```
sc query observiq-otel-collector
```

Mengonfigurasi penerusan Syslog di Forcepoint Web Security

Konfigurasi Forcepoint Web Security untuk meneruskan log ke agen Bindplane dalam format CEF (Common Event Format).

Menggunakan Forcepoint Security Manager

Login ke Forcepoint Security Manager dengan kredensial administratif.
Buka Setelan > Logging.
Di navigasi kiri, pilih Server Log.
Klik Tambahkan untuk membuat konfigurasi server log baru.
Berikan detail konfigurasi berikut:
- Server Type: Pilih Syslog Server atau CEF Server.
- Name: Masukkan nama deskriptif (misalnya, Google Security Operations Bindplane CEF).
- Host: Masukkan alamat IP atau nama host agen Bindplane.
- Port: Masukkan nomor port agen Bindplane (misalnya, 514).
- Protokol: Pilih protokol yang cocok dengan konfigurasi Bindplane Anda:
  - Pilih TCP jika Anda mengonfigurasi penerima tcplog di Bindplane (direkomendasikan).
  - Pilih UDP jika Anda mengonfigurasi penerima udplog di Bindplane.
- Format: Pilih CEF (Common Event Format).
- Facility: Pilih Local0 (atau fasilitas lain yang tersedia).
- Tingkat keparahan: Pilih Informasi (untuk merekam semua tingkat log).
Di bagian Kategori Log atau Jenis Peristiwa, pilih peristiwa yang akan diteruskan:
- ☑ Log Akses Web (log transaksi)
- ☑ Peristiwa Keamanan (deteksi ancaman)
- ☑ Peristiwa Autentikasi (login/logout pengguna)
- ☑ Peristiwa Sistem (perubahan sistem dan konfigurasi)
- Atau, pilih Semua Peristiwa untuk meneruskan semua jenis log yang tersedia.
Opsional: Konfigurasi setelan tambahan:
- Ukuran Batch: Setel ke 1 untuk penerusan real-time atau lebih tinggi untuk pemrosesan batch.
- Message Format: Pastikan format CEF dipilih.
- Sertakan Informasi Pengguna: Aktifkan untuk menyertakan identitas pengguna dalam log.
Klik Test Connection untuk memverifikasi konektivitas ke agen Bindplane.
- Pesan pengujian akan muncul di log agen BindPlane.
- Jika pengujian gagal, verifikasi konektivitas jaringan dan aturan firewall.
Klik Simpan untuk menerapkan konfigurasi.
Klik Deploy untuk mengirimkan konfigurasi ke semua gateway Forcepoint Web Security.

Menggunakan Forcepoint Web Security Appliance (konfigurasi langsung)

Jika Anda mengonfigurasi langsung di appliance:

Login ke antarmuka pengelolaan Forcepoint Web Security Appliance.
Buka Sistem > Server Log.
Klik Tambahkan atau Edit untuk membuat atau mengubah server log.
Berikan detail konfigurasi berikut:
- Alamat Server: Masukkan alamat IP agen Bindplane.
- Port: Masukkan 514 (atau port kustom Anda).
- Protocol: Pilih TCP atau UDP agar sesuai dengan konfigurasi Bindplane Anda.
- Format: Pilih CEF atau Common Event Format.
- Facility: Pilih Local0.
Di bagian Jenis Log, pilih log yang akan diteruskan:
- ☑ Akses Log
- ☑ Log Keamanan
- ☑ Log Admin
Klik Terapkan atau Simpan.
Jika menggunakan beberapa perangkat, ulangi konfigurasi ini di setiap perangkat.

Verifikasi Format CEF

Forcepoint Web Security mengirim log dalam format CEF dengan struktur berikut:

CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

Contoh log CEF:

 CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

Parser Google SecOps mengharapkan format CEF dan akan mengekstrak kolom utama berikut:

src - Alamat IP sumber
dst - Alamat IP tujuan
spt - Port sumber
dpt - Port tujuan
requestMethod - Metode HTTP
request atau url - URL yang diminta
cs1 - Tindakan (Izinkan/Blokir)
cs2 - Kategori URL
suser - Nama Pengguna

Memverifikasi bahwa log sedang di-ingest

Setelah konfigurasi, verifikasi bahwa log mengalir dari Forcepoint Web Security ke Google SecOps:

Di konsol Forcepoint, pastikan log sedang dikirim:
- Buka Setelan > Logging > Server Log.
- Periksa kolom Status untuk server yang Anda konfigurasi - kolom ini akan menampilkan Aktif atau Terhubung.
- Lihat Statistik untuk melihat jumlah log yang dikirim.
Di host agen BindPlane, periksa log agen untuk pesan syslog masuk:
- Linux:
```
 sudo journalctl -u observiq-otel-collector -f
```
  - Cari entri log yang berisi pesan format CEF:
```
   CEF:0|Forcepoint|Web Security|...
```
- Windows:
  1. Pilih Windows Event Viewer di bagian Applications and Services Logs > observIQ.
  2. Di Google SecOps, pastikan log muncul:
    - Buka Penelusuran > Penelusuran UDM.
    - Gunakan kueri berikut:
```
metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
```
    - Sesuaikan rentang waktu ke jam-jam terakhir (misalnya, 1 jam terakhir).
    - Pastikan peristiwa muncul di hasil.
  3. Pastikan kolom tertentu diuraikan dengan benar:
```
metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""
```
  4. Buka SIEM Settings > Collection Agents untuk melihat statistik penyerapan:
    - Pilih jumlah Peristiwa yang diterima.
    - Verifikasi stempel waktu Terakhir berhasil pada baru-baru ini.

Pemecahan masalah

Tidak ada log yang muncul di Google SecOps

Gejala: Agen Bindplane berjalan, tetapi tidak ada log yang muncul di Google SecOps.

Kemungkinan penyebab:

Masalah konektivitas jaringan antara agen Forcepoint dan Bindplane.
Firewall memblokir port syslog.
Ketidakcocokan protokol (TCP dikonfigurasi di Bindplane, tetapi UDP dikonfigurasi di Forcepoint, atau sebaliknya).
Alamat IP atau port agen Bindplane salah dalam konfigurasi Forcepoint.
Endpoint regional yang salah dikonfigurasi di BindPlane.
Format CEF tidak diaktifkan di Forcepoint.

Solusi:

Verifikasi konektivitas jaringan:

# From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

Periksa aturan firewall di host Bindplane:

# Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

Verifikasi kecocokan protokol:
- Periksa config.yaml Bindplane untuk tcplog atau udplog.
- Periksa konfigurasi server log Forcepoint untuk protokol yang cocok.
Pastikan format CEF diaktifkan:
- Di Forcepoint Security Manager, buka Settings > Logging > Log Servers.
- Pastikan Format disetel ke CEF atau Common Event Format.
Verifikasi endpoint regional:
- Pastikan endpoint di config.yaml cocok dengan region instance Google SecOps Anda.
- Lihat dokumentasi Endpoint Regional.
Periksa log agen BindPlane untuk mengetahui error:
```
sudo journalctl -u observiq-otel-collector -n 100 --no-pager
```
Cari pesan error seperti:
- connection refused - Masalah jaringan/firewall
- authentication failed - Masalah kredensial
- invalid endpoint - Masalah endpoint regional

Error ketidakcocokan protokol

Gejala: Log tidak diterima, error koneksi dalam pengujian Forcepoint, atau error Connection refused dalam log Bindplane.

Solusi:

Pastikan protokol yang dikonfigurasi di Bindplane (tcplog atau udplog) cocok dengan protokol yang dikonfigurasi di Forcepoint (TCP atau UDP).

Jika menggunakan TCP dan mengalami masalah koneksi, verifikasi apakah agen Bindplane sedang memproses:

# Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

Jika port tidak memproses, mulai ulang agen Bindplane.

Error autentikasi

Gejala: Log agen Bindplane menampilkan error autentikasi ke Google SecOps.

Kemungkinan penyebab:

ID pelanggan salah.
File autentikasi penyerapan tidak valid atau sudah tidak berlaku.
Jalur yang salah ke file autentikasi penyerapan.
Endpoint regional salah.

Solusi:

Verifikasi apakah ID pelanggan di config.yaml cocok dengan ID dari Setelan SIEM > Profil.
Download ulang file autentikasi penyerapan dari SIEM Settings > Collection Agents.
Verifikasi bahwa jalur di config.yaml mengarah ke lokasi yang benar.
Verifikasi bahwa endpoint regional cocok dengan region instance Google SecOps Anda.

Pastikan agen Bindplane memiliki izin baca pada file autentikasi:

sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

Log muncul, tetapi kolom tidak diuraikan

Gejala: Log muncul di Google SecOps, tetapi kolom seperti principal.ip, target.url kosong.

Kemungkinan penyebab:

Log tidak dalam format CEF.
Format CEF salah bentuk atau tidak standar.
Jenis log tidak cocok dalam konfigurasi BindPlane.

Solusi:

Memverifikasi format CEF di log mentah:
- Di Google SecOps, buka Search > Raw Log Search.
- Telusuri log Forcepoint terbaru.
- Verifikasi bahwa log dimulai dengan CEF:0|Forcepoint|Web Security|.
Jika log tidak dalam format CEF:
- Di Forcepoint, ubah Format menjadi CEF atau Common Event Format.
- Deploy ulang konfigurasi.
Verifikasi jenis log di Bindplane config.yaml:
- Pastikan log_type: 'FORCEPOINT_PROXY' disetel dengan benar.
Periksa variasi nama kolom CEF:
- Beberapa versi Forcepoint mungkin menggunakan nama kolom CEF yang berbeda.
- Pastikan nama kolom cocok dengan ekstensi CEF yang diharapkan dalam tabel pemetaan UDM.

Latensi tinggi atau penundaan log

Gejala: Log muncul di Google SecOps dengan penundaan yang signifikan (lebih dari 5 menit).

Kemungkinan penyebab:

Latensi jaringan antara Forcepoint dan agen Bindplane.
Batasan resource agen Bindplane (CPU/memori).
Batch processing diaktifkan di Forcepoint.
Backlog penyerapan Google SecOps.

Solusi:

Verifikasi latensi jaringan:

ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

Periksa penggunaan resource agen BindPlane:

top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

Di Forcepoint, sesuaikan setelan batch:
- Buka Setelan > Logging > Server Log.
- Tetapkan Ukuran Batch ke 1 untuk penerusan real-time.
- Atau, kurangi interval batch untuk pengiriman yang lebih sering.
Pertimbangkan untuk menskalakan host agen Bindplane (lebih banyak CPU/memori) jika dibatasi resource.
Jika menggunakan UDP, verifikasi infrastruktur jaringan mendukung throughput yang diperlukan tanpa kehilangan paket.

Koneksi uji Forcepoint gagal

Gejala: Saat mengklik Test Connection di Forcepoint, pengujian gagal.

Solusi:

Pastikan agen Bindplane sedang berjalan:

sudo systemctl status observiq-otel-collector

Verifikasi bahwa agen Bindplane memproses port yang dikonfigurasi:
```
sudo netstat -tuln | grep 514
```

Nonaktifkan firewall untuk sementara guna menguji:

# Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

Periksa log agen BindPlane selama pengujian:
```
sudo journalctl -u observiq-otel-collector -f
```
- Anda akan melihat upaya koneksi masuk.
Jika pengujian masih gagal, pastikan alamat IP dan port sudah benar dalam konfigurasi Forcepoint.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`action`	`security_result.summary`	Jika `action_msg` tidak kosong, `action_msg` akan dipetakan ke `security_result.summary`. Jika tidak, jika `action` tidak kosong, `action` akan dipetakan ke `security_result.summary`. Jika tidak, jika `act` tidak kosong, `act` akan dipetakan ke `security_result.summary`.
`action_msg`	`security_result.summary`	Jika `action_msg` tidak kosong, `action_msg` akan dipetakan ke `security_result.summary`. Jika tidak, jika `action` tidak kosong, `action` akan dipetakan ke `security_result.summary`. Jika tidak, jika `act` tidak kosong, `act` akan dipetakan ke `security_result.summary`.
`app`	`target.application`	Jika `destinationServiceName` tidak kosong, `destinationServiceName` akan dipetakan ke `app_name`. Jika tidak, jika `app` tidak kosong dan tidak berisi http atau HTTP, maka akan dipetakan ke `app_name`. Terakhir, `app_name` dipetakan ke `target.application`.
`bytes_in`	`network.received_bytes`	Jika `in` tidak kosong, `in` akan dipetakan ke `bytes_in`. Terakhir, `bytes_in` dipetakan ke `network.received_bytes`.
`bytes_out`	`network.sent_bytes`	Jika `out` tidak kosong, `out` akan dipetakan ke `bytes_out`. Terakhir, `bytes_out` dipetakan ke `network.sent_bytes`.
`cat`	`security_result.category_details`	Jika `cat` tidak kosong, `cat` akan dipetakan ke `category`. Terakhir, `category` dipetakan ke `security_result.category_details`.
`category_no`	`security_result.detection_fields.value`	Jika `category_no` tidak kosong, `category_no` akan dipetakan ke `security_result.detection_fields.value` dengan kunci `Category Number`.
`cn1`	`security_result.detection_fields.value`	Jika `cn1` tidak kosong, `cn1` akan dipetakan ke `security_result.detection_fields.value` dengan kunci `Disposition Number`.
`ContentType`	`target.file.mime_type`	Jika `contentType` tidak kosong, `contentType` akan dipetakan ke `ContentType`. Terakhir, `ContentType` dipetakan ke `target.file.mime_type`.
`cs1`	`target_role.description`	`cs1` dipetakan ke `target_role.description`.
`cs2`	`security_result.category_details`	Jika `cs2` tidak kosong dan bukan `0`, maka akan dipetakan ke `security_result.category_details` dengan awalan `Dynamic Category:`.
`cs3`	`target.file.mime_type`	`cs3` dipetakan ke `target.file.mime_type`.
`description`	`metadata.description`	Jika `description` tidak kosong, `description` akan dipetakan ke `metadata.description`.
`destinationServiceName`	`target.application`	Jika `destinationServiceName` tidak kosong, `destinationServiceName` akan dipetakan ke `app_name`. Terakhir, `app_name` dipetakan ke `target.application`.
`deviceFacility`	`metadata.product_event_type`	Jika `product_event` dan `deviceFacility` tidak kosong, keduanya akan digabungkan dengan `-` dan dipetakan ke `metadata.product_event_type`. Jika tidak, `product_event` dipetakan ke `metadata.product_event_type`.
`disposition`	`security_result.detection_fields.value`	Jika `disposition` tidak kosong, `disposition` akan dipetakan ke `security_result.detection_fields.value` dengan kunci `Disposition Number`.
`dst`	`target.ip`	Jika `dst` tidak kosong dan `dvchost` kosong, maka akan dipetakan ke `dst_ip`. Terakhir, `dst_ip` dipetakan ke `target.ip`.
`dst_host`	`target.hostname`	Jika `dst` tidak kosong dan `dvchost` kosong, maka akan dipetakan ke `dst_host`. Terakhir, `dst_host` dipetakan ke `target.hostname`.
`dst_ip`	`target.ip`	Jika `dst` tidak kosong dan `dvchost` kosong, maka akan dipetakan ke `dst_ip`. Terakhir, `dst_ip` dipetakan ke `target.ip`.
`dst_port`	`target.port`	Jika `dst` tidak kosong dan `dvchost` kosong, maka akan dipetakan ke `dst_port`. Terakhir, `dst_port` dipetakan ke `target.port`.
`duration`	`network.session_duration.seconds`	Jika `duration` tidak kosong dan bukan `0`, maka akan dipetakan ke `network.session_duration.seconds`.
`dvchost`	`intermediary.ip`	Jika `dvchost` tidak kosong, `dvchost` akan dipetakan ke `int_ip`. Terakhir, `int_ip` dipetakan ke `intermediary.ip` jika merupakan alamat IP yang valid, atau dipetakan ke `intermediary.hostname`.
`file_path`	`target.file.full_path`	Jika `file_path` tidak kosong, `file_path` akan dipetakan ke `target.file.full_path`.
`host`	`principal.ip`	Jika `host` tidak kosong, `host` akan dipetakan ke `src`. Terakhir, `src` dipetakan ke `principal.ip`.
`http_method`	`network.http.method`	Jika `requestMethod` tidak kosong, `requestMethod` akan dipetakan ke `http_method`. Jika tidak, jika `method` tidak kosong, `method` akan dipetakan ke `http_method`. Terakhir, `http_method` dipetakan ke `network.http.method`.
`http_proxy_status_code`	`network.http.response_code`	Jika `http_response` kosong atau `0` atau `-`, dan `http_proxy_status_code` tidak kosong, maka akan dipetakan ke `network.http.response_code`.
`http_response`	`network.http.response_code`	Jika `http_response` tidak kosong dan bukan `0` dan bukan `-`, maka akan dipetakan ke `network.http.response_code`.
`http_user_agent`	`network.http.user_agent`	Jika `http_user_agent` tidak kosong dan bukan `-`, maka akan dipetakan ke `network.http.user_agent`.
`in`	`network.received_bytes`	Jika `in` tidak kosong, `in` akan dipetakan ke `bytes_in`. Terakhir, `bytes_in` dipetakan ke `network.received_bytes`.
`int_host`	`intermediary.hostname`	Jika `int_ip` tidak kosong dan `int_host` tidak kosong serta berbeda dari `int_ip`, maka akan dipetakan ke `intermediary.hostname`.
`int_ip`	`intermediary.ip`	Jika `dvchost` tidak kosong, `dvchost` akan dipetakan ke `int_ip`. Terakhir, `int_ip` dipetakan ke `intermediary.ip` jika merupakan alamat IP yang valid, atau dipetakan ke `intermediary.hostname`.
`level`	`target_role.name`	Jika `level` tidak kosong dan `role` kosong, maka akan dipetakan ke `role`. Terakhir, `role` dipetakan ke `target_role.name`.
`log_level`	`security_result.severity`	Jika `severity` adalah `1` atau `log_level` berisi `info` atau `message` berisi `notice`, `security_result.severity` ditetapkan ke `INFORMATIONAL`. Jika `severity` adalah `7`, `security_result.severity` ditetapkan ke `HIGH`.
`loginID`	`principal.user.userid`	Jika `loginID` tidak kosong, `loginID` akan dipetakan ke `user`. Terakhir, jika `user` tidak kosong dan bukan `-`, serta tidak berisi `LDAP`, maka akan dipetakan ke `principal.user.userid`.
`method`	`network.http.method`	Jika `requestMethod` tidak kosong, `requestMethod` akan dipetakan ke `http_method`. Jika tidak, jika `method` tidak kosong, `method` akan dipetakan ke `http_method`. Terakhir, `http_method` dipetakan ke `network.http.method`.
`NatRuleId`	`security_result.detection_fields.value`	Jika `NatRuleId` tidak kosong, `NatRuleId` akan dipetakan ke `security_result.detection_fields.value` dengan kunci `NatRuleId`.
`out`	`network.sent_bytes`	Jika `out` tidak kosong, `out` akan dipetakan ke `bytes_out`. Terakhir, `bytes_out` dipetakan ke `network.sent_bytes`.
`pid`	`target.process.pid`	Jika `pid` tidak kosong, `pid` akan dipetakan ke `target.process.pid`.
`policy`	`target_role.description`	Jika `Policy` tidak kosong, `Policy` akan dipetakan ke `policy`. Jika `policy` tidak kosong dan bukan `-`, maka akan dipetakan ke `target_role.description`.
`Policy`	`target_role.description`	Jika `Policy` tidak kosong, `Policy` akan dipetakan ke `policy`. Jika `policy` tidak kosong dan bukan `-`, maka akan dipetakan ke `target_role.description`.
`product_event`	`metadata.product_event_type`	Jika `product` tidak kosong, `product` akan dipetakan ke `product_event`. Jika `product_event` dan `deviceFacility` tidak kosong, keduanya akan digabungkan dengan `-` dan dipetakan ke `metadata.product_event_type`. Jika tidak, `product_event` dipetakan ke `metadata.product_event_type`.
`proxyStatus-code`	`network.http.response_code`	Jika `http_response` kosong atau `0` atau `-`, dan `http_proxy_status_code` kosong serta `proxyStatus-code` tidak kosong, maka akan dipetakan ke `network.http.response_code`.
`refererUrl`	`network.http.referral_url`	Jika `refererUrl` tidak kosong dan bukan `-`, maka akan dipetakan ke `network.http.referral_url`.
`requestClientApplication`	`network.http.user_agent`	Jika `requestMethod` tidak kosong, `requestMethod` akan dipetakan ke `http_user_agent`. Terakhir, `http_user_agent` dipetakan ke `network.http.user_agent`.
`requestMethod`	`network.http.method`	Jika `requestMethod` tidak kosong, `requestMethod` akan dipetakan ke `http_method`. Terakhir, `http_method` dipetakan ke `network.http.method`.
`role`	`target_role.name`	Jika `level` tidak kosong dan `role` kosong, maka akan dipetakan ke `role`. Terakhir, `role` dipetakan ke `target_role.name`.
`RuleID`	`security_result.rule_id`	Jika `RuleID` tidak kosong, `RuleID` akan dipetakan ke `security_result.rule_id`.
`serverStatus-code`	`network.http.response_code`	Jika `http_response` kosong atau `0` atau `-`, dan `http_proxy_status_code` kosong serta `proxyStatus-code` tidak kosong, maka akan dipetakan ke `network.http.response_code`.
`severity`	`security_result.severity`	Jika `severity` adalah `1` atau `log_level` berisi `info` atau `message` berisi `notice`, `security_result.severity` ditetapkan ke `INFORMATIONAL`. Jika `severity` adalah `7`, `security_result.severity` ditetapkan ke `HIGH`.
`spt`	`principal.port`	Jika `spt` tidak kosong, `spt` akan dipetakan ke `src_port`. Terakhir, `src_port` dipetakan ke `principal.port`.
`src`	`principal.ip`	Jika `src_host` tidak kosong, `src_host` akan dipetakan ke `source_ip_temp`. Jika `source_ip_temp` adalah alamat IP yang valid dan `src` kosong, alamat IP tersebut dipetakan ke `src`. Jika `host` tidak kosong, `host` akan dipetakan ke `src`. Terakhir, `src` dipetakan ke `principal.ip`.
`src_host`	`principal.hostname`	Jika `src_host` tidak kosong, `src_host` akan dipetakan ke `source_ip_temp`. Jika `source_ip_temp` bukan alamat IP yang valid, alamat IP tersebut dipetakan ke `principal.hostname`. Jika `source_ip_temp` adalah alamat IP yang valid dan `src` kosong, alamat IP tersebut dipetakan ke `src`. Terakhir, `src` dipetakan ke `principal.ip`.
`src_port`	`principal.port`	Jika `src_port` tidak kosong, `src_port` akan dipetakan ke `principal.port`.
`suser`	`principal.user.userid`	Jika `loginID` tidak kosong, `loginID` akan dipetakan ke `user`. Jika `suser` tidak kosong, `suser` akan dipetakan ke `user`. Terakhir, jika `user` tidak kosong dan bukan `-`, serta tidak berisi `LDAP`, maka akan dipetakan ke `principal.user.userid`.
`url`	`target.url`	Jika `url` tidak kosong, `url` akan dipetakan ke `target.url`.
`user`	`principal.user.userid`	Jika `loginID` tidak kosong, `loginID` akan dipetakan ke `user`. Jika `suser` tidak kosong, `suser` akan dipetakan ke `user`. Jika tidak, jika `usrName` tidak kosong, `usrName` akan dipetakan ke `user`. Terakhir, jika `user` tidak kosong dan bukan `-`, serta tidak berisi `LDAP`, maka akan dipetakan ke `principal.user.userid`.
`usrName`	`principal.user.userid`	Jika `loginID` tidak kosong, `loginID` akan dipetakan ke `user`. Jika `suser` tidak kosong, `suser` akan dipetakan ke `user`. Jika tidak, jika `usrName` tidak kosong, `usrName` akan dipetakan ke `user`. Terakhir, jika `user` tidak kosong dan bukan `-`, serta tidak berisi `LDAP`, maka akan dipetakan ke `principal.user.userid`.
`when`	`metadata.event_timestamp`	Jika `when` tidak kosong, `when` akan diuraikan dan dipetakan ke `metadata.event_timestamp`.
T/A	`metadata.log_type`	Nilai `FORCEPOINT_WEBPROXY` di-hardcode ke dalam `metadata.log_type`.
T/A	`metadata.product_name`	Nilai `Forcepoint Webproxy` di-hardcode ke dalam `metadata.product_name`.
T/A	`metadata.vendor_name`	Nilai `Forcepoint` di-hardcode ke dalam `metadata.vendor_name`.
T/A	`network.application_protocol`	Jika `dst_port` adalah `80`, `network.application_protocol` ditetapkan ke `HTTP`. Jika `dst_port` adalah `443`, `network.application_protocol` ditetapkan ke `HTTPS`.
T/A	`principal.user.group_identifiers`	Jika `user` tidak kosong dan bukan `-` serta berisi `LDAP`, bagian OU dari string pengguna akan diekstrak dan dipetakan ke `principal.user.group_identifiers`.
T/A	`principal.user.user_display_name`	Jika `user` tidak kosong dan bukan `-` serta berisi `LDAP`, bagian nama pengguna dari string pengguna akan diekstrak dan dipetakan ke `principal.user.user_display_name`.
T/A	`security_result.action`	Jika `action_msg`, `action`, atau `act` tidak kosong, `sec_action` ditetapkan ke `ALLOW` atau `BLOCK` berdasarkan nilainya. Terakhir, `sec_action` dipetakan ke `security_result.action`.
T/A	`security_result.detection_fields.key`	Nilai `Disposition Number` di-hardcode ke `security_result.detection_fields.key` saat memetakan `disposition` atau `cn1`. Nilai `NatRuleId` di-hardcode ke `security_result.detection_fields.key` saat memetakan `NatRuleId`. Nilai `Category Number` di-hardcode ke `security_result.detection_fields.key` saat memetakan `category_no`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.