此页面由 Cloud Translation API 翻译。

收集 Forcepoint Web Security 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 将 Forcepoint Web Security 日志注入到 Google Security Operations。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows 2016 或更高版本或 Linux 主机，其中包含 Bindplane 代理的 systemd
如果通过代理运行，请确保防火墙端口已根据 Bindplane 代理要求打开
对 Forcepoint Web Security 管理控制台或 Forcepoint Security Manager 拥有特权访问权限
Forcepoint Web Security 与 Bindplane 代理主机之间的网络连接
Forcepoint Web Security 7.8 版或更高版本（建议使用此版本，以支持 CEF 格式）

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

您可以将 Bindplane 代理配置为通过 TCP 或 UDP 接收 syslog 消息。选择最适合您的环境和网络要求的协议。

选择协议

TCP（建议使用，可提高可靠性）：提供传送服务，适用于大多数环境。如果可靠的日志传送至关重要，并且您希望确保不会因网络问题而丢失任何日志，请使用 TCP。
UDP（建议用于提升性能）：延迟时间更短，开销更少。如果需要高吞吐量且可以接受偶尔的日志丢失，请使用 UDP。

配置 Bindplane 代理

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

修改 config.yaml 文件，并添加所选协议的配置：

选项 A：TCP 配置（推荐）

receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

选项 B：UDP 配置

receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

根据您的基础架构需要替换端口和 IP 地址（默认值为 0.0.0.0:514）。

注意：端口 514 是标准 syslog 端口。如果此端口已被使用或受限，请选择替代端口（例如 1514、5514），并在 Forcepoint Web Security 中配置相同的端口。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```
如需验证代理是否在 Linux 中运行，请运行以下命令：
```
sudo systemctl status observiq-otel-collector
```
如需验证代理是否在 Windows 中运行，请运行以下命令：
```
sc query observiq-otel-collector
```

在 Forcepoint Web Security 上配置 Syslog 转发

将 Forcepoint Web Security 配置为以 CEF（通用事件格式）格式将日志转发到 Bindplane 代理。

使用 Forcepoint Security Manager

使用管理员凭证登录 Forcepoint Security Manager。
依次前往设置 > 日志记录。
在左侧导航栏中，选择日志服务器。
点击添加以创建新的日志服务器配置。
提供以下配置详细信息：
- 服务器类型：选择 Syslog 服务器或 CEF 服务器。
- 名称：输入一个描述性名称（例如 Google Security Operations Bindplane CEF）。
- 主机：输入 Bindplane 代理的 IP 地址或主机名。
- 端口：输入 Bindplane 代理端口号（例如 514）。
- 协议：选择与您的 Bindplane 配置相符的协议：
  - 如果您在 Bindplane 中配置了 tcplog 接收器，请选择 TCP（推荐）。
  - 如果您在 Bindplane 中配置了 udplog 接收器，请选择 UDP。
- 格式：选择 CEF（通用事件格式）。
- 设备：选择 Local0（或其他可用设备）。
- 严重程度：选择信息（以捕获所有日志级别）。
在日志类别或事件类型下，选择要转发的事件：
- ☑ Web 访问日志（交易日志）
- ☑ 安全性事件（威胁检测）
- ☑ 身份验证事件（用户登录/退出）
- ☑ 系统事件（系统和配置更改）
- 或者，选择所有事件以转发所有可用的日志类型。
可选：配置其他设置：
- 批次大小：设置为 1 可实现实时转发，设置为更高的值可实现批处理。
- 消息格式：确保已选择 CEF 格式。
- 包含用户信息：启用此选项可在日志中包含用户身份信息。
点击测试连接，验证与 Bindplane 代理的连接。
- Bindplane 代理日志中应显示一条测试消息。
- 如果测试失败，请验证网络连接和防火墙规则。
点击保存以应用配置。
点击 Deploy 将配置推送到所有 Forcepoint Web Security 网关。

使用 Forcepoint Web Security Appliance（直接配置）

如果您直接在设备上进行配置，请执行以下操作：

登录 Forcepoint Web Security Appliance 管理界面。
依次前往系统 > 日志服务器。
点击添加或修改以创建或修改日志服务器。
提供以下配置详细信息：
- 服务器地址：输入 Bindplane 代理 IP 地址。
- 端口：输入 514（或您的自定义端口）。
- 协议：选择 TCP 或 UDP，以与您的 Bindplane 配置相匹配。
- 格式：选择 CEF 或 通用事件格式。
- 设备：选择 Local0。
在日志类型下，选择要转发的日志：
- ☑ 访问日志
- ☑ 安全日志
- ☑ 管理员日志
点击应用或保存。
如果使用多台设备，请在每台设备上重复此配置。

CEF 格式验证

Forcepoint Web Security 会以 CEF 格式发送日志，其结构如下：

CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

CEF 日志示例：

 CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

Google SecOps 解析器需要 CEF 格式，并将提取以下关键字段：

src - 来源 IP 地址
dst - 目标 IP 地址
spt - 源端口
dpt - 目标端口
requestMethod - HTTP 方法
request 或 url - 请求的网址
cs1 - 操作（允许/禁止）
cs2 - 网址类别
suser - 用户名

验证日志是否正在被提取

配置完成后，验证日志是否正在从 Forcepoint Web Security 流入 Google SecOps：

在 Forcepoint 控制台中，验证日志是否正在发送：
- 依次前往设置 > 日志记录 > 日志服务器。
- 查看已配置服务器的状态列，其中应显示有效或已连接。
- 查看统计信息，了解已发送的日志数量。
在 Bindplane 代理主机上，检查代理日志中是否有传入的 syslog 消息：
- Linux：
```
 sudo journalctl -u observiq-otel-collector -f
```
  - 查找包含 CEF 格式消息的日志条目：
```
   CEF:0|Forcepoint|Web Security|...
```
- Windows：
  1. 在应用和服务日志 > observIQ 下选择 Windows 事件查看器。
  2. 在 Google SecOps 中，验证日志是否显示：
    - 依次前往搜索 > UDM 搜索。
    - 使用以下查询：
```
metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
```
    - 将时间范围调整为最近几个小时（例如过去 1 小时）。
    - 验证结果中是否显示事件。
  3. 验证特定字段是否已正确解析：
```
metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""
```
  4. 前往 SIEM 设置 > 收集代理，查看提取统计信息：
    - 选择收到的事件数量。
    - 验证上次成功时间时间戳是否为最近的时间。

问题排查

Google SecOps 中未显示任何日志

症状：Bindplane 代理正在运行，但 Google SecOps 中未显示任何日志。

可能的原因：

Forcepoint 与 Bindplane 代理之间的网络连接问题。
防火墙屏蔽了 syslog 端口。
协议不匹配（在 Bindplane 中配置了 TCP，但在 Forcepoint 中配置了 UDP，反之亦然）。
Forcepoint 配置中的 Bindplane 代理 IP 地址或端口不正确。
Bindplane 中配置的区域性端点不正确。
Forcepoint 中未启用 CEF 格式。

解决方案：

验证网络连接：

# From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

检查 Bindplane 主机上的防火墙规则：

# Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

验证协议匹配情况：
- 检查 Bindplane config.yaml 是否存在 tcplog 或 udplog。
- 检查 Forcepoint 日志服务器配置是否与协议匹配。
验证 CEF 格式是否已启用：
- 在 Forcepoint Security Manager 中，依次前往设置 > 日志记录 > 日志服务器。
- 验证格式是否设置为 CEF 或 Common Event Format。
验证区域端点：
- 检查 config.yaml 中的 endpoint 是否与您的 Google SecOps 实例区域匹配。
- 请参阅区域级端点文档。
检查 Bindplane 代理日志是否存在错误：
```
sudo journalctl -u observiq-otel-collector -n 100 --no-pager
```
查找类似以下内容的错误消息：
- connection refused - 网络/防火墙问题
- authentication failed - 凭据问题
- invalid endpoint - 区域端点问题

协议不匹配错误

症状：未收到日志、Forcepoint 测试中出现连接错误，或 Bindplane 日志中出现 Connection refused 错误。

解决方案：

确保在 Bindplane 中配置的协议（tcplog 或 udplog）与在 Forcepoint 中配置的协议（TCP 或 UDP）相匹配。

如果使用 TCP 时遇到连接问题，请验证 Bindplane 代理是否正在侦听：

# Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

如果端口未处于监听状态，请重启 Bindplane 代理。

身份验证错误

症状：Bindplane 代理日志显示向 Google SecOps 进行身份验证时出错。

可能的原因：

客户 ID 不正确。
提取身份验证文件无效或已过期。
提取身份验证文件的路径不正确。
区域端点不正确。

解决方案：

验证 config.yaml 中的客户 ID 是否与 SIEM 设置 > 个人资料中的 ID 一致。
从 SIEM 设置 > 收集代理中重新下载数据提取身份验证文件。
验证 config.yaml 中的路径是否指向正确的位置。
验证区域端点是否与您的 Google SecOps 实例区域匹配。

确保 Bindplane 代理对身份验证文件具有读取权限：

sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

日志显示，但字段未解析

症状：日志显示在 Google SecOps 中，但 principal.ip、target.url 等字段为空。

可能的原因：

日志不是 CEF 格式。
CEF 格式错误或不标准。
Bindplane 配置中的日志类型不匹配。

解决方案：

验证原始日志中的 CEF 格式：
- 在 Google SecOps 中，依次前往搜索 > 原始日志搜索。
- 搜索最近的 Forcepoint 日志。
- 验证日志是否以 CEF:0|Forcepoint|Web Security| 开头。
如果日志不是 CEF 格式：
- 在 Forcepoint 中，将格式更改为 CEF 或 Common Event Format。
- 重新部署配置。
在 Bindplane config.yaml 中验证日志类型：
- 确保 log_type: 'FORCEPOINT_PROXY' 设置正确。
检查 CEF 字段名称变体：
- 某些 Forcepoint 版本可能会使用不同的 CEF 字段名称。
- 验证字段名称是否与 UDM 映射表中的预期 CEF 扩展相符。

延迟时间较长或日志延迟

症状：日志在 Google SecOps 中显示时有明显延迟（超过 5 分钟）。

可能的原因：

Forcepoint 与 Bindplane 代理之间的网络延迟。
Bindplane 代理资源限制（CPU/内存）。
Forcepoint 中已启用批处理。
Google SecOps 注入积压。

解决方案：

验证网络延迟时间：

ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

检查 Bindplane 代理资源使用情况：

top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

在 Forcepoint 中，调整批处理设置：
- 依次前往设置 > 日志记录 > 日志服务器。
- 将批次大小设置为 1，以实现实时转发。
- 或者，缩短批处理间隔，以便更频繁地发送。
如果资源受限，请考虑伸缩 Bindplane 代理主机（增加 CPU/内存）。
如果使用 UDP，请验证网络基础设施是否支持所需的吞吐量，且不会发生丟包。

Forcepoint 测试连接失败

症状：在 Forcepoint 中点击测试连接时，测试失败。

解决方案：

验证 Bindplane 代理是否正在运行：

sudo systemctl status observiq-otel-collector

验证 Bindplane 代理是否正在监听配置的端口：
```
sudo netstat -tuln | grep 514
```

暂时停用防火墙以进行测试：

# Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

在测试期间检查 Bindplane 代理日志：
```
sudo journalctl -u observiq-otel-collector -f
```
- 您应该会看到一个传入的连接尝试。
如果测试仍然失败，请验证 Forcepoint 配置中的 IP 地址和端口是否正确。

UDM 映射表

日志字段	UDM 映射	逻辑
`action`	`security_result.summary`	如果 `action_msg` 不为空，则映射到 `security_result.summary`。否则，如果 `action` 不为空，则将其映射到 `security_result.summary`。否则，如果 `act` 不为空，则将其映射到 `security_result.summary`。
`action_msg`	`security_result.summary`	如果 `action_msg` 不为空，则映射到 `security_result.summary`。否则，如果 `action` 不为空，则将其映射到 `security_result.summary`。否则，如果 `act` 不为空，则将其映射到 `security_result.summary`。
`app`	`target.application`	如果 `destinationServiceName` 不为空，则映射到 `app_name`。否则，如果 `app` 不为空且不包含 http 或 HTTP，则将其映射到 `app_name`。最后，`app_name` 映射到 `target.application`。
`bytes_in`	`network.received_bytes`	如果 `in` 不为空，则映射到 `bytes_in`。最后，`bytes_in` 映射到 `network.received_bytes`。
`bytes_out`	`network.sent_bytes`	如果 `out` 不为空，则映射到 `bytes_out`。最后，`bytes_out` 映射到 `network.sent_bytes`。
`cat`	`security_result.category_details`	如果 `cat` 不为空，则映射到 `category`。最后，`category` 映射到 `security_result.category_details`。
`category_no`	`security_result.detection_fields.value`	如果 `category_no` 不为空，则会映射到键为 `Category Number` 的 `security_result.detection_fields.value`。
`cn1`	`security_result.detection_fields.value`	如果 `cn1` 不为空，则会映射到键为 `Disposition Number` 的 `security_result.detection_fields.value`。
`ContentType`	`target.file.mime_type`	如果 `contentType` 不为空，则映射到 `ContentType`。最后，`ContentType` 映射到 `target.file.mime_type`。
`cs1`	`target_role.description`	`cs1` 映射到 `target_role.description`。
`cs2`	`security_result.category_details`	如果 `cs2` 不为空且不是 `0`，则会映射到 `security_result.category_details`，并带有前缀 `Dynamic Category:`。
`cs3`	`target.file.mime_type`	`cs3` 映射到 `target.file.mime_type`。
`description`	`metadata.description`	如果 `description` 不为空，则映射到 `metadata.description`。
`destinationServiceName`	`target.application`	如果 `destinationServiceName` 不为空，则映射到 `app_name`。最后，`app_name` 映射到 `target.application`。
`deviceFacility`	`metadata.product_event_type`	如果 `product_event` 和 `deviceFacility` 不为空，则使用 `-` 将它们串联起来，并映射到 `metadata.product_event_type`。否则，`product_event` 会映射到 `metadata.product_event_type`。
`disposition`	`security_result.detection_fields.value`	如果 `disposition` 不为空，则会映射到键为 `Disposition Number` 的 `security_result.detection_fields.value`。
`dst`	`target.ip`	如果 `dst` 不为空且 `dvchost` 为空，则映射到 `dst_ip`。最后，`dst_ip` 映射到 `target.ip`。
`dst_host`	`target.hostname`	如果 `dst` 不为空且 `dvchost` 为空，则映射到 `dst_host`。最后，`dst_host` 映射到 `target.hostname`。
`dst_ip`	`target.ip`	如果 `dst` 不为空且 `dvchost` 为空，则映射到 `dst_ip`。最后，`dst_ip` 映射到 `target.ip`。
`dst_port`	`target.port`	如果 `dst` 不为空且 `dvchost` 为空，则映射到 `dst_port`。最后，`dst_port` 映射到 `target.port`。
`duration`	`network.session_duration.seconds`	如果 `duration` 不为空且不为 `0`，则映射到 `network.session_duration.seconds`。
`dvchost`	`intermediary.ip`	如果 `dvchost` 不为空，则映射到 `int_ip`。最后，如果 `int_ip` 是有效的 IP 地址，则将其映射到 `intermediary.ip`，否则将其映射到 `intermediary.hostname`。
`file_path`	`target.file.full_path`	如果 `file_path` 不为空，则映射到 `target.file.full_path`。
`host`	`principal.ip`	如果 `host` 不为空，则映射到 `src`。最后，`src` 映射到 `principal.ip`。
`http_method`	`network.http.method`	如果 `requestMethod` 不为空，则映射到 `http_method`。否则，如果 `method` 不为空，则将其映射到 `http_method`。最后，`http_method` 映射到 `network.http.method`。
`http_proxy_status_code`	`network.http.response_code`	如果 `http_response` 为空或 `0` 或 `-`，且 `http_proxy_status_code` 不为空，则映射到 `network.http.response_code`。
`http_response`	`network.http.response_code`	如果 `http_response` 不为空且不是 `0` 和 `-`，则映射到 `network.http.response_code`。
`http_user_agent`	`network.http.user_agent`	如果 `http_user_agent` 不为空且不为 `-`，则映射到 `network.http.user_agent`。
`in`	`network.received_bytes`	如果 `in` 不为空，则映射到 `bytes_in`。最后，`bytes_in` 映射到 `network.received_bytes`。
`int_host`	`intermediary.hostname`	如果 `int_ip` 不为空，且 `int_host` 不为空且与 `int_ip` 不同，则映射到 `intermediary.hostname`。
`int_ip`	`intermediary.ip`	如果 `dvchost` 不为空，则映射到 `int_ip`。最后，如果 `int_ip` 是有效的 IP 地址，则将其映射到 `intermediary.ip`，否则将其映射到 `intermediary.hostname`。
`level`	`target_role.name`	如果 `level` 不为空且 `role` 为空，则映射到 `role`。最后，`role` 映射到 `target_role.name`。
`log_level`	`security_result.severity`	如果 `severity` 为 `1` 或 `log_level` 包含 `info` 或 `message` 包含 `notice`，则 `security_result.severity` 设置为 `INFORMATIONAL`。如果 `severity` 为 `7`，则 `security_result.severity` 设置为 `HIGH`。
`loginID`	`principal.user.userid`	如果 `loginID` 不为空，则映射到 `user`。最后，如果 `user` 不为空且不为 `-`，并且不包含 `LDAP`，则将其映射到 `principal.user.userid`。
`method`	`network.http.method`	如果 `requestMethod` 不为空，则映射到 `http_method`。否则，如果 `method` 不为空，则将其映射到 `http_method`。最后，`http_method` 映射到 `network.http.method`。
`NatRuleId`	`security_result.detection_fields.value`	如果 `NatRuleId` 不为空，则会映射到键为 `NatRuleId` 的 `security_result.detection_fields.value`。
`out`	`network.sent_bytes`	如果 `out` 不为空，则映射到 `bytes_out`。最后，`bytes_out` 映射到 `network.sent_bytes`。
`pid`	`target.process.pid`	如果 `pid` 不为空，则映射到 `target.process.pid`。
`policy`	`target_role.description`	如果 `Policy` 不为空，则映射到 `policy`。如果 `policy` 不为空且不为 `-`，则映射到 `target_role.description`。
`Policy`	`target_role.description`	如果 `Policy` 不为空，则映射到 `policy`。如果 `policy` 不为空且不为 `-`，则映射到 `target_role.description`。
`product_event`	`metadata.product_event_type`	如果 `product` 不为空，则映射到 `product_event`。如果 `product_event` 和 `deviceFacility` 不为空，则使用 `-` 将它们串联起来，并映射到 `metadata.product_event_type`。否则，`product_event` 会映射到 `metadata.product_event_type`。
`proxyStatus-code`	`network.http.response_code`	如果 `http_response` 为空或 `0` 或 `-`，且 `http_proxy_status_code` 为空而 `proxyStatus-code` 不为空，则映射到 `network.http.response_code`。
`refererUrl`	`network.http.referral_url`	如果 `refererUrl` 不为空且不为 `-`，则映射到 `network.http.referral_url`。
`requestClientApplication`	`network.http.user_agent`	如果 `requestMethod` 不为空，则映射到 `http_user_agent`。最后，`http_user_agent` 映射到 `network.http.user_agent`。
`requestMethod`	`network.http.method`	如果 `requestMethod` 不为空，则映射到 `http_method`。最后，`http_method` 映射到 `network.http.method`。
`role`	`target_role.name`	如果 `level` 不为空且 `role` 为空，则映射到 `role`。最后，`role` 映射到 `target_role.name`。
`RuleID`	`security_result.rule_id`	如果 `RuleID` 不为空，则映射到 `security_result.rule_id`。
`serverStatus-code`	`network.http.response_code`	如果 `http_response` 为空或 `0` 或 `-`，且 `http_proxy_status_code` 为空而 `proxyStatus-code` 不为空，则映射到 `network.http.response_code`。
`severity`	`security_result.severity`	如果 `severity` 为 `1` 或 `log_level` 包含 `info` 或 `message` 包含 `notice`，则 `security_result.severity` 设置为 `INFORMATIONAL`。如果 `severity` 为 `7`，则 `security_result.severity` 设置为 `HIGH`。
`spt`	`principal.port`	如果 `spt` 不为空，则映射到 `src_port`。最后，`src_port` 映射到 `principal.port`。
`src`	`principal.ip`	如果 `src_host` 不为空，则映射到 `source_ip_temp`。如果 `source_ip_temp` 是有效的 IP 地址且 `src` 为空，则将其映射到 `src`。如果 `host` 不为空，则映射到 `src`。最后，`src` 映射到 `principal.ip`。
`src_host`	`principal.hostname`	如果 `src_host` 不为空，则映射到 `source_ip_temp`。如果 `source_ip_temp` 不是有效的 IP 地址，则会映射到 `principal.hostname`。如果 `source_ip_temp` 是有效的 IP 地址且 `src` 为空，则将其映射到 `src`。最后，`src` 映射到 `principal.ip`。
`src_port`	`principal.port`	如果 `src_port` 不为空，则映射到 `principal.port`。
`suser`	`principal.user.userid`	如果 `loginID` 不为空，则映射到 `user`。如果 `suser` 不为空，则映射到 `user`。最后，如果 `user` 不为空且不为 `-`，并且不包含 `LDAP`，则将其映射到 `principal.user.userid`。
`url`	`target.url`	如果 `url` 不为空，则映射到 `target.url`。
`user`	`principal.user.userid`	如果 `loginID` 不为空，则映射到 `user`。如果 `suser` 不为空，则映射到 `user`。否则，如果 `usrName` 不为空，则将其映射到 `user`。最后，如果 `user` 不为空且不为 `-`，并且不包含 `LDAP`，则将其映射到 `principal.user.userid`。
`usrName`	`principal.user.userid`	如果 `loginID` 不为空，则映射到 `user`。如果 `suser` 不为空，则映射到 `user`。否则，如果 `usrName` 不为空，则将其映射到 `user`。最后，如果 `user` 不为空且不为 `-`，并且不包含 `LDAP`，则将其映射到 `principal.user.userid`。
`when`	`metadata.event_timestamp`	如果 `when` 不为空，系统会对其进行解析并将其映射到 `metadata.event_timestamp`。
不适用	`metadata.log_type`	值 `FORCEPOINT_WEBPROXY` 已硬编码到 `metadata.log_type` 中。
不适用	`metadata.product_name`	值 `Forcepoint Webproxy` 已硬编码到 `metadata.product_name` 中。
不适用	`metadata.vendor_name`	值 `Forcepoint` 已硬编码到 `metadata.vendor_name` 中。
不适用	`network.application_protocol`	如果 `dst_port` 为 `80`，则 `network.application_protocol` 设置为 `HTTP`。如果 `dst_port` 为 `443`，则 `network.application_protocol` 设置为 `HTTPS`。
不适用	`principal.user.group_identifiers`	如果 `user` 不为空且不是 `-`，并且包含 `LDAP`，则提取用户字符串的 OU 部分并将其映射到 `principal.user.group_identifiers`。
不适用	`principal.user.user_display_name`	如果 `user` 不为空且不是 `-`，并且包含 `LDAP`，则提取用户字符串的用户名部分并将其映射到 `principal.user.user_display_name`。
不适用	`security_result.action`	如果 `action_msg`、`action` 或 `act` 不为空，则根据它们的值将 `sec_action` 设置为 `ALLOW` 或 `BLOCK`。最后，`sec_action` 映射到 `security_result.action`。
不适用	`security_result.detection_fields.key`	在映射 `disposition` 或 `cn1` 时，值 `Disposition Number` 会硬编码到 `security_result.detection_fields.key` 中。在映射 `NatRuleId` 时，值 `NatRuleId` 会硬编码到 `security_result.detection_fields.key` 中。在映射 `category_no` 时，值 `Category Number` 会硬编码到 `security_result.detection_fields.key` 中。