Forcepoint Web Security のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Forcepoint Web Security ログを Google Security Operations に取り込む方法について説明します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Bindplane エージェント用の systemd を使用する Windows 2016 以降または Linux ホスト
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • Forcepoint Web Security 管理コンソールまたは Forcepoint Security Manager への特権アクセス
  • Forcepoint Web Security と Bindplane エージェント ホスト間のネットワーク接続
  • Forcepoint Web Security バージョン 7.8 以降(CEF 形式のサポートに推奨)

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

TCP または UDP 経由で syslog メッセージを受信するように Bindplane エージェントを構成できます。環境とネットワーク要件に最適なプロトコルを選択します。

プロトコルを選択する

  • TCP(信頼性のために推奨): 配信を提供し、ほとんどの環境に適しています。信頼性の高いログ配信が重要で、ネットワークの問題によるログの損失を防ぎたい場合は、TCP を使用します。
  • UDP(パフォーマンスに推奨): レイテンシが低く、オーバーヘッドが少ない。高スループットが必要で、ログの損失が許容される場合は、UDP を使用します。

Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。

    • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    • テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. 選択したプロトコルの構成で config.yaml ファイルを編集します。

    • オプション A: TCP 構成(推奨)

      receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

    • オプション B: UDP 構成

      receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

      • 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます(デフォルトは 0.0.0.0:514)。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

  • Linux でエージェントが実行されていることを確認するには、次のコマンドを実行します。

    sudo systemctl status observiq-otel-collector

  • Windows でエージェントが実行されていることを確認するには、次のコマンドを実行します。

    sc query observiq-otel-collector

Forcepoint Web Security で Syslog 転送を構成する

ログを CEF(Common Event Format)形式で Bindplane エージェントに転送するように Forcepoint Web Security を構成します。

Forcepoint Security Manager の使用

  1. 管理者認証情報を使用して Forcepoint Security Manager にログインします。
  2. [設定] > [ロギング] に移動します。
  3. 左側のナビゲーションで、[ログサーバー] を選択します。
  4. [追加] をクリックして、新しいログサーバー構成を作成します。
  5. 次の構成の詳細を入力します。
    • サーバータイプ: [Syslog サーバー] または [CEF サーバー] を選択します。
    • 名前: わかりやすい名前を入力します(例: Google Security Operations Bindplane CEF)。
    • ホスト: Bindplane エージェントの IP アドレスまたはホスト名を入力します。
    • ポート: Bindplane エージェントのポート番号(例: 514)を入力します。
    • プロトコル: Bindplane の構成と一致するプロトコルを選択します。
      • Bindplane で tcplog レシーバを構成した場合は、[TCP] を選択します(推奨)。
      • Bindplane で udplog レシーバを構成した場合は、[UDP] を選択します。
    • 形式: [CEF](Common Event Format)を選択します。
    • Facility: Local0(または使用可能な別のファシリティ)を選択します。
    • 重大度: [Informational] を選択します(すべてのログレベルをキャプチャするため)。
  6. [ログカテゴリ] または [イベントタイプ] で、転送するイベントを選択します。
    • ウェブアクセスログ(トランザクション ログ)
    • セキュリティ イベント(脅威の検出)
    • 認証イベント(ユーザーのログイン/ログアウト)
    • システム イベント(システムと構成の変更)
    • または、[All Events] を選択して、利用可能なすべてのログタイプを転送します。
  7. 省略可: 追加の設定を構成します。
    • バッチサイズ: リアルタイム転送の場合は 1 に設定し、バッチ処理の場合はそれより大きい値に設定します。
    • メッセージ形式: CEF 形式が選択されていることを確認します。
    • ユーザー情報を含める: ユーザー ID をログに含める場合に有効にします。
  8. [接続をテスト] をクリックして、Bindplane エージェントへの接続を確認します。
    • Bindplane エージェントのログにテスト メッセージが表示されます。
    • テストが失敗した場合は、ネットワーク接続とファイアウォール ルールを確認します。
  9. [保存] をクリックして、構成を適用します。
  10. [Deploy] をクリックして、すべての Forcepoint Web Security ゲートウェイに構成をプッシュします。

Forcepoint Web Security Appliance の使用(直接構成)

アプライアンスで直接構成する場合:

  1. Forcepoint Web Security Appliance の管理インターフェースにログインします。
  2. [System] > [Log Server] に移動します。
  3. [追加] または [編集] をクリックして、ログサーバーを作成または変更します。
  4. 次の構成の詳細を入力します。
    • サーバー アドレス: Bindplane エージェントの IP アドレスを入力します。
    • ポート: 514(またはカスタムポート)を入力します。
    • プロトコル: Bindplane の構成に合わせて、TCP または UDP を選択します。
    • 形式: [CEF] または [Common Event Format] を選択します。
    • ファシリティ: [Local0] を選択します。
  5. [ログの種類] で、転送するログを選択します。
    • アクセスログ
    • セキュリティ ログ
    • 管理ログ
  6. [適用] または [保存] をクリックします。
  7. 複数のアプライアンスを使用している場合は、各アプライアンスでこの構成を繰り返します。

CEF 形式の検証

  • Forcepoint Web Security は、次の構造で CEF 形式のログを送信します。

    CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

    • CEF ログの例:

       CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

Google SecOps パーサーは CEF 形式を想定しており、次のキーフィールドを抽出します。

  • src - 送信元 IP アドレス
  • dst - 宛先 IP アドレス
  • spt - 送信元ポート
  • dpt - 宛先ポート
  • requestMethod - HTTP メソッド
  • request または url - リクエストされた URL
  • cs1 - 操作(許可/ブロック)
  • cs2 - URL のカテゴリ
  • suser - ユーザー名

ログが取り込まれていることを確認する

構成後、ログが Forcepoint Web Security から Google SecOps に送信されていることを確認します。

  1. Forcepoint コンソールで、ログが送信されていることを確認します。

    • [Settings] > [Logging] > [Log Servers] に移動します。
    • 構成したサーバーの [ステータス] 列を確認します。アクティブまたは接続済みと表示されているはずです。
    • [統計情報] を表示して、送信されたログの数を確認します。

  2. Bindplane エージェント ホストで、受信した syslog メッセージのエージェント ログを確認します。

    • Linux:

       sudo journalctl -u observiq-otel-collector -f

      • CEF 形式のメッセージを含むログエントリを探します。

           CEF:0|Forcepoint|Web Security|...

    • Windows:

      1. [アプリケーションとサービス ログ] > [observIQ] で Windows イベント ビューアを選択します。

      2. Google SecOps で、ログが表示されていることを確認します。

        • [検索] > [UDM 検索] に移動します。
        • 次のクエリを使用してください。
        metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
        • 期間を直近の時間([過去 1 時間] など)に調整します。
        • イベントが結果に表示されることを確認します。

      3. 特定のフィールドが正しく解析されていることを確認します。

        metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""

      4. [SIEM 設定] > [収集エージェント] に移動して、取り込み統計情報を表示します。

        • [受信したイベント] の数を選択します。
        • [Last succeeded on] のタイムスタンプが最近のものであることを確認します。

トラブルシューティング

Google SecOps にログが表示されない

現象: Bindplane エージェントは実行されているが、Google SecOps にログが表示されない。

考えられる原因:

  1. Forcepoint と Bindplane エージェント間のネットワーク接続の問題。
  2. Syslog ポートをブロックしているファイアウォール。
  3. プロトコルの不一致(Bindplane で TCP が構成されているが、Forcepoint で UDP が構成されているなど)。
  4. Forcepoint の構成で Bindplane エージェントの IP アドレスまたはポートが正しくない。
  5. Bindplane で正しくないリージョン エンドポイントが構成されている。
  6. Forcepoint で CEF 形式が有効になっていない。

解決策:

  1. ネットワーク接続を確認します。

    # From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

  2. Bindplane ホストのファイアウォール ルールを確認します。

    # Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

  3. プロトコルの一致を確認します。

    • Bindplane config.yamltcplog または udplog を確認します。
    • 一致するプロトコルについて、Forcepoint ログサーバーの構成を確認します。

  4. CEF 形式が有効になっていることを確認します。

    • Forcepoint Security Manager で、[設定] > [ロギング] > [ログサーバー] に移動します。
    • [形式] が [CEF] または [Common Event Format] に設定されていることを確認します。

  5. リージョン エンドポイントを確認します。

  6. Bindplane エージェント ログでエラーを確認します。

    sudo journalctl -u observiq-otel-collector -n 100 --no-pager

    次のようなエラー メッセージがないか確認します。

    • connection refused - ネットワーク/ファイアウォールの問題
    • authentication failed - 認証情報に関する問題
    • invalid endpoint - リージョン エンドポイントの問題

プロトコルの不一致エラー

症状: ログが受信されない、Forcepoint テストで接続エラーが発生する、Bindplane ログで Connection refused エラーが発生する。

解決策:

  1. Bindplane で構成されているプロトコル(tcplog または udplog)が、Forcepoint で構成されているプロトコル(TCP または UDP)と一致していることを確認します。

  2. TCP を使用していて接続の問題が発生している場合は、Bindplane エージェントがリッスンしていることを確認します。

    # Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

  3. ポートがリッスンしていない場合は、Bindplane エージェントを再起動します。

認証エラー

症状: Bindplane エージェントのログに、Google SecOps への認証エラーが表示されます。

考えられる原因:

  1. お客様 ID が間違っています。
  2. 取り込み認証ファイルが無効または期限切れです。
  3. 取り込み認証ファイルへのパスが正しくありません。
  4. リージョン エンドポイントが正しくありません。

解決策:

  1. config.yaml のお客様 ID が、[SIEM 設定] > [プロファイル] の ID と一致していることを確認します。
  2. [SIEM 設定] > [収集エージェント] から取り込み認証ファイルを再度ダウンロードします。
  3. config.yaml のパスが正しい場所を指していることを確認します。
  4. リージョン エンドポイントが Google SecOps インスタンスのリージョンと一致していることを確認します。

  5. Bindplane エージェントに認証ファイルの読み取り権限があることを確認します。

    sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

ログは表示されるがフィールドが解析されない

現象: ログは Google SecOps に表示されるが、principal.iptarget.url などのフィールドが空になっている。

考えられる原因:

  1. ログが CEF 形式ではありません。
  2. CEF 形式が不適切であるか、標準外です。
  3. Bindplane 構成でログタイプが一致しない。

解決策:

  1. 未加工ログで CEF 形式を確認します。

    • Google SecOps で、[検索] > [未加工ログ検索] に移動します。
    • 最近の Forcepoint ログを検索します。
    • ログが CEF:0|Forcepoint|Web Security| で始まることを確認します。

  2. ログが CEF 形式でない場合:

    • Forcepoint で、[Format] を [CEF] または [Common Event Format] に変更します。
    • 構成を再デプロイします。

  3. Bindplane config.yaml でログタイプを確認します。

    • log_type: 'FORCEPOINT_PROXY' が正しく設定されていることを確認します。

  4. CEF フィールド名のバリエーションを確認します。

    • Forcepoint のバージョンによっては、異なる CEF フィールド名が使用されることがあります。
    • フィールド名が UDM マッピング テーブルの想定される CEF 拡張機能と一致していることを確認します。

レイテンシが高い、またはログの遅延が発生している

症状: ログが Google SecOps に表示されるまでに大幅な遅延(5 分以上)が発生する。

考えられる原因:

  1. Forcepoint と Bindplane エージェント間のネットワーク レイテンシ。
  2. Bindplane エージェントのリソース制約(CPU/メモリ)。
  3. Forcepoint でバッチ処理が有効になっている。
  4. Google SecOps 取り込みバックログ。

解決策:

  1. ネットワーク レイテンシを確認します。

    ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

  2. Bindplane エージェントのリソース使用量を確認します。

    top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

  3. Forcepoint で、バッチ設定を調整します。

    • [Settings] > [Logging] > [Log Servers] に移動します。
    • リアルタイム転送の場合は、[バッチサイズ] を 1 に設定します。
    • または、バッチ間隔を短くして送信頻度を増やします。

  4. リソースが制約されている場合は、Bindplane エージェント ホスト(CPU/メモリの増加)のスケーリングを検討してください。

  5. UDP を使用する場合は、ネットワーク インフラストラクチャがパケット損失なしで必要なスループットをサポートしていることを確認します。

Forcepoint の接続テストが失敗する

現象: Forcepoint で [Test Connection] をクリックすると、テストが失敗します。

解決策:

  1. Bindplane エージェントが実行されていることを確認します。

    sudo systemctl status observiq-otel-collector

  2. Bindplane エージェントが構成済みのポートでリッスンしていることを確認します。

    sudo netstat -tuln | grep 514

  3. テストのためにファイアウォールを一時的に無効にします。

    # Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

  4. テスト中に Bindplane エージェントのログを確認します。

    sudo journalctl -u observiq-otel-collector -f
    • 受信接続の試行が表示されます。

  5. テストが失敗する場合は、Forcepoint の構成で IP アドレスとポートが正しいことを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
action security_result.summary action_msg が空でない場合、security_result.summary にマッピングされます。それ以外の場合、action が空でなければ、security_result.summary にマッピングされます。それ以外の場合、act が空でなければ、security_result.summary にマッピングされます。
action_msg security_result.summary action_msg が空でない場合、security_result.summary にマッピングされます。それ以外の場合、action が空でなければ、security_result.summary にマッピングされます。それ以外の場合、act が空でなければ、security_result.summary にマッピングされます。
app target.application destinationServiceName が空でない場合、app_name にマッピングされます。それ以外の場合、app が空でなく、http または HTTP を含まない場合は、app_name にマッピングされます。最後に、app_nametarget.application にマッピングされます。
bytes_in network.received_bytes in が空でない場合、bytes_in にマッピングされます。最後に、bytes_innetwork.received_bytes にマッピングされます。
bytes_out network.sent_bytes out が空でない場合、bytes_out にマッピングされます。最後に、bytes_outnetwork.sent_bytes にマッピングされます。
cat security_result.category_details cat が空でない場合、category にマッピングされます。最後に、categorysecurity_result.category_details にマッピングされます。
category_no security_result.detection_fields.value category_no が空でない場合、キー Category Number を使用して security_result.detection_fields.value にマッピングされます。
cn1 security_result.detection_fields.value cn1 が空でない場合、キー Disposition Number を使用して security_result.detection_fields.value にマッピングされます。
ContentType target.file.mime_type contentType が空でない場合、ContentType にマッピングされます。最後に、ContentTypetarget.file.mime_type にマッピングされます。
cs1 target_role.description cs1target_role.description にマッピングされます。
cs2 security_result.category_details cs2 が空ではなく、0 でもない場合、接頭辞 Dynamic Category: 付きで security_result.category_details にマッピングされます。
cs3 target.file.mime_type cs3target.file.mime_type にマッピングされます。
description metadata.description description が空でない場合、metadata.description にマッピングされます。
destinationServiceName target.application destinationServiceName が空でない場合、app_name にマッピングされます。最後に、app_nametarget.application にマッピングされます。
deviceFacility metadata.product_event_type product_eventdeviceFacility が空でない場合、- と連結され、metadata.product_event_type にマッピングされます。それ以外の場合は、product_eventmetadata.product_event_type にマッピングされます。
disposition security_result.detection_fields.value disposition が空でない場合、キー Disposition Number を使用して security_result.detection_fields.value にマッピングされます。
dst target.ip dst が空でなく、dvchost が空の場合、dst_ip にマッピングされます。最後に、dst_iptarget.ip にマッピングされます。
dst_host target.hostname dst が空でなく、dvchost が空の場合、dst_host にマッピングされます。最後に、dst_hosttarget.hostname にマッピングされます。
dst_ip target.ip dst が空でなく、dvchost が空の場合、dst_ip にマッピングされます。最後に、dst_iptarget.ip にマッピングされます。
dst_port target.port dst が空でなく、dvchost が空の場合、dst_port にマッピングされます。最後に、dst_porttarget.port にマッピングされます。
duration network.session_duration.seconds duration が空でなく、0 でない場合、network.session_duration.seconds にマッピングされます。
dvchost intermediary.ip dvchost が空でない場合、int_ip にマッピングされます。最後に、int_ip が有効な IP アドレスの場合は intermediary.ip にマッピングされ、それ以外の場合は intermediary.hostname にマッピングされます。
file_path target.file.full_path file_path が空でない場合、target.file.full_path にマッピングされます。
host principal.ip host が空でない場合、src にマッピングされます。最後に、srcprincipal.ip にマッピングされます。
http_method network.http.method requestMethod が空でない場合、http_method にマッピングされます。それ以外の場合、method が空でなければ、http_method にマッピングされます。最後に、http_methodnetwork.http.method にマッピングされます。
http_proxy_status_code network.http.response_code http_response が空または 0 または - で、http_proxy_status_code が空でない場合、network.http.response_code にマッピングされます。
http_response network.http.response_code http_response が空でなく、0 でなく、- でない場合、network.http.response_code にマッピングされます。
http_user_agent network.http.user_agent http_user_agent が空でなく、- でない場合、network.http.user_agent にマッピングされます。
in network.received_bytes in が空でない場合、bytes_in にマッピングされます。最後に、bytes_innetwork.received_bytes にマッピングされます。
int_host intermediary.hostname int_ip が空でなく、int_host が空でなく、int_ip と異なる場合、intermediary.hostname にマッピングされます。
int_ip intermediary.ip dvchost が空でない場合、int_ip にマッピングされます。最後に、int_ip が有効な IP アドレスの場合は intermediary.ip にマッピングされ、それ以外の場合は intermediary.hostname にマッピングされます。
level target_role.name level が空でなく、role が空の場合、role にマッピングされます。最後に、roletarget_role.name にマッピングされます。
log_level security_result.severity severity1 の場合、log_levelinfo が含まれている場合、または messagenotice が含まれている場合、security_result.severityINFORMATIONAL に設定されます。severity7 の場合、security_result.severityHIGH に設定されます。
loginID principal.user.userid loginID が空でない場合、user にマッピングされます。最後に、user が空でなく、- でなく、LDAP を含まない場合、principal.user.userid にマッピングされます。
method network.http.method requestMethod が空でない場合、http_method にマッピングされます。それ以外の場合、method が空でなければ、http_method にマッピングされます。最後に、http_methodnetwork.http.method にマッピングされます。
NatRuleId security_result.detection_fields.value NatRuleId が空でない場合、キー NatRuleId を使用して security_result.detection_fields.value にマッピングされます。
out network.sent_bytes out が空でない場合、bytes_out にマッピングされます。最後に、bytes_outnetwork.sent_bytes にマッピングされます。
pid target.process.pid pid が空でない場合、target.process.pid にマッピングされます。
policy target_role.description Policy が空でない場合、policy にマッピングされます。policy が空でなく、- でない場合、target_role.description にマッピングされます。
Policy target_role.description Policy が空でない場合、policy にマッピングされます。policy が空でなく、- でない場合、target_role.description にマッピングされます。
product_event metadata.product_event_type product が空でない場合、product_event にマッピングされます。product_eventdeviceFacility が空でない場合、- と連結され、metadata.product_event_type にマッピングされます。それ以外の場合は、product_eventmetadata.product_event_type にマッピングされます。
proxyStatus-code network.http.response_code http_response が空または 0 または - で、http_proxy_status_code が空で proxyStatus-code が空でない場合、network.http.response_code にマッピングされます。
refererUrl network.http.referral_url refererUrl が空でなく、- でない場合、network.http.referral_url にマッピングされます。
requestClientApplication network.http.user_agent requestMethod が空でない場合、http_user_agent にマッピングされます。最後に、http_user_agentnetwork.http.user_agent にマッピングされます。
requestMethod network.http.method requestMethod が空でない場合、http_method にマッピングされます。最後に、http_methodnetwork.http.method にマッピングされます。
role target_role.name level が空でなく、role が空の場合、role にマッピングされます。最後に、roletarget_role.name にマッピングされます。
RuleID security_result.rule_id RuleID が空でない場合、security_result.rule_id にマッピングされます。
serverStatus-code network.http.response_code http_response が空または 0 または - で、http_proxy_status_code が空で proxyStatus-code が空でない場合、network.http.response_code にマッピングされます。
severity security_result.severity severity1 の場合、log_levelinfo が含まれている場合、または messagenotice が含まれている場合、security_result.severityINFORMATIONAL に設定されます。severity7 の場合、security_result.severityHIGH に設定されます。
spt principal.port spt が空でない場合、src_port にマッピングされます。最後に、src_portprincipal.port にマッピングされます。
src principal.ip src_host が空でない場合、source_ip_temp にマッピングされます。source_ip_temp が有効な IP アドレスで、src が空の場合、src にマッピングされます。host が空でない場合、src にマッピングされます。最後に、srcprincipal.ip にマッピングされます。
src_host principal.hostname src_host が空でない場合、source_ip_temp にマッピングされます。source_ip_temp が有効な IP アドレスでない場合は、principal.hostname にマッピングされます。source_ip_temp が有効な IP アドレスで、src が空の場合、src にマッピングされます。最後に、srcprincipal.ip にマッピングされます。
src_port principal.port src_port が空でない場合、principal.port にマッピングされます。
suser principal.user.userid loginID が空でない場合、user にマッピングされます。suser が空でない場合、user にマッピングされます。最後に、user が空でなく、- でなく、LDAP を含まない場合、principal.user.userid にマッピングされます。
url target.url url が空でない場合、target.url にマッピングされます。
user principal.user.userid loginID が空でない場合、user にマッピングされます。suser が空でない場合、user にマッピングされます。それ以外の場合、usrName が空でなければ、user にマッピングされます。最後に、user が空でなく、- でなく、LDAP を含まない場合、principal.user.userid にマッピングされます。
usrName principal.user.userid loginID が空でない場合、user にマッピングされます。suser が空でない場合、user にマッピングされます。それ以外の場合、usrName が空でなければ、user にマッピングされます。最後に、user が空でなく、- でなく、LDAP を含まない場合、principal.user.userid にマッピングされます。
when metadata.event_timestamp when が空でない場合、解析されて metadata.event_timestamp にマッピングされます。
なし metadata.log_type FORCEPOINT_WEBPROXYmetadata.log_type にハードコードされています。
なし metadata.product_name Forcepoint Webproxymetadata.product_name にハードコードされています。
なし metadata.vendor_name Forcepointmetadata.vendor_name にハードコードされています。
なし network.application_protocol dst_port80 の場合、network.application_protocolHTTP に設定されます。dst_port443 の場合、network.application_protocolHTTPS に設定されます。
なし principal.user.group_identifiers user が空でなく、- でなく、LDAP を含む場合、ユーザー文字列の OU 部分が抽出され、principal.user.group_identifiers にマッピングされます。
なし principal.user.user_display_name user が空でなく、- でなく、LDAP を含む場合、ユーザー文字列のユーザー名部分が抽出され、principal.user.user_display_name にマッピングされます。
なし security_result.action action_msgactionact が空でない場合、それらの値に基づいて sec_actionALLOW または BLOCK に設定されます。最後に、sec_actionsecurity_result.action にマッピングされます。
なし security_result.detection_fields.key disposition または cn1 をマッピングするときに、値 Disposition Numbersecurity_result.detection_fields.key にハードコードされます。NatRuleId をマッピングするときに、値 NatRuleIdsecurity_result.detection_fields.key にハードコードされます。category_no をマッピングするときに、値 Category Numbersecurity_result.detection_fields.key にハードコードされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。