本頁面由 Cloud Translation API 翻譯而成。

收集 Forcepoint Web Security 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Forcepoint Web Security 記錄擷取至 Google Security Operations。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
搭載 systemd 的 Windows 2016 以上版本或 Linux 主機，適用於 Bindplane 代理程式
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Forcepoint Web Security 管理主控台或 Forcepoint Security Manager 的特殊存取權
Forcepoint Web Security 與 Bindplane 代理程式主機之間的網路連線
Forcepoint Web Security 7.8 以上版本 (建議使用，支援 CEF 格式)

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具備根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

您可以設定 Bindplane 代理程式，透過 TCP 或 UDP 接收系統記錄訊息。請選擇最符合環境和網路需求的通訊協定。

選擇通訊協定

TCP (建議使用，確保可靠性)：提供傳送功能，適用於大多數環境。如果需要確保記錄傳送作業的可靠性，且不想因網路問題而遺失記錄，請使用 TCP。
UDP (建議使用，可提升效能)：延遲時間較短，且負擔較小。如果需要高處理量，且可接受偶爾遺失記錄，請使用 UDP。

設定 Bindplane 代理程式

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

編輯 config.yaml 檔案，加入所選通訊協定的設定：

選項 A：TCP 設定 (建議)

receivers:
   tcplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
chronicle/chronicle_w_labels:
   compression: gzip
   # Adjust the path to the credentials file you downloaded in Step 1
   creds_file_path: '/path/to/ingestion-authentication-file.json'
   # Replace with your actual customer ID from Step 2
   customer_id: <YOUR_CUSTOMER_ID>
   # Replace with the appropriate regional endpoint
   endpoint: <CUSTOMER_REGION_ENDPOINT>
   # Log type for Forcepoint Web Security
   log_type: 'FORCEPOINT_WEBPROXY'
   raw_log_field: body
   # You can optionally add other custom ingestion labels here if needed
   ingestion_labels:

service:
   pipelines:
      logs/forcepoint_tcp_to_chronicle:
         receivers:
            - tcplog
         exporters:
            - chronicle/chronicle_w_labels

選項 B：UDP 設定

receivers:
   udplog:
      # Replace with your desired port and IP address
      listen_address: "0.0.0.0:514"
      # Add operators if specific parsing is needed
      operators: []

exporters:
   chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: '/path/to/ingestion-authentication-file.json'
      # Replace with your actual customer ID from Step 2
      customer_id: <YOUR_CUSTOMER_ID>
      # Replace with the appropriate regional endpoint
      endpoint: <CUSTOMER_REGION_ENDPOINT>
      # Log type for Forcepoint Web Security
      log_type: 'FORCEPOINT_WEBPROXY'
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

service:
   pipelines:
      logs/forcepoint_udp_to_chronicle:
         receivers:
            - udplog
         exporters:
            - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址 (預設為 0.0.0.0:514)。

注意： 通訊埠 514 是標準的系統記錄檔通訊埠。如果這個通訊埠已在使用中或受到限制，請選擇替代通訊埠 (例如 1514、5514)，並在 Forcepoint Web Security 中設定相同的通訊埠。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```
如要確認代理程式是否在 Linux 中執行，請執行下列指令：
```
sudo systemctl status observiq-otel-collector
```
如要確認代理程式是否在 Windows 中執行，請執行下列指令：
```
sc query observiq-otel-collector
```

在 Forcepoint Web Security 上設定 Syslog 轉送

設定 Forcepoint Web Security，以 CEF (通用事件格式) 格式將記錄轉送至 Bindplane 代理程式。

使用 Forcepoint Security Manager

使用管理員憑證登入 Forcepoint Security Manager。
依序前往「設定」>「記錄」。
在左側導覽面板中，選取「記錄伺服器」。
按一下「新增」，建立新的記錄伺服器設定。
提供下列設定詳細資料：
- 伺服器類型：選取「Syslog 伺服器」或「CEF 伺服器」。
- 名稱：輸入描述性名稱 (例如 Google Security Operations Bindplane CEF)。
- 主機：輸入 Bindplane 代理程式 IP 位址或主機名稱。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號 (例如 514)。
- 通訊協定：選取與 Bindplane 設定相符的通訊協定：
  - 如果您在 Bindplane 中設定 tcplog 接收器 (建議)，請選取「TCP」TCP。
  - 如果您在 Bindplane 中設定 udplog 接收器，請選取「UDP」UDP。
- 格式：選取 CEF (通用事件格式)。
- 設施：選取「Local0」 (或其他可用設施)。
- 嚴重性：選取「資訊」 (擷取所有記錄層級)。
在「記錄類別」或「事件類型」下方，選取要轉送的事件：
- ☑ 網路存取記錄 (交易記錄)
- ☑ 安全性事件 (威脅偵測)
- ☑ 驗證事件 (使用者登入/登出)
- ☑ 系統事件 (系統和設定變更)
- 或者選取「所有事件」，轉送所有可用的記錄類型。
選用：調整其他設定：
- 批次大小：設為 1 可即時轉送，設為較高值則可批次處理。
- 訊息格式：確認已選取 CEF 格式。
- 包含使用者資訊：啟用這項設定，即可在記錄中加入使用者身分。
按一下「測試連線」，驗證與 Bindplane 代理程式的連線。
- Bindplane 代理程式記錄中應該會顯示測試訊息。
- 如果測試失敗，請確認網路連線和防火牆規則。
按一下「儲存」即可套用設定。
按一下「Deploy」，將設定推送至所有 Forcepoint Web Security 閘道。

使用 Forcepoint Web Security Appliance (直接設定)

如果直接在設備上設定：

登入 Forcepoint Web Security Appliance 管理介面。
依序前往「系統」>「記錄伺服器」。
按一下「新增」或「編輯」，即可建立或修改記錄伺服器。
提供下列設定詳細資料：
- 伺服器位址：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 514 (或自訂通訊埠)。
- 通訊協定：選取「TCP」或「UDP」，與 Bindplane 設定相符。
- 格式：選取「CEF」或「Common Event Format」。
- 設施：選取「Local0」。
在「記錄類型」下方，選取要轉送的記錄：
- ☑ 存取記錄
- ☑ 安全性記錄
- ☑ 管理員記錄
按一下「套用」或「儲存」。
如果使用多部家電，請在每部家電上重複執行這項設定。

驗證 CEF 格式

Forcepoint Web Security 會以 CEF 格式傳送記錄，結構如下：

CEF:0|Forcepoint|Web Security|<version>|<event_id>|<event_name>|<severity>|<extensions>

CEF 記錄檔範例：

 CEF:0|Forcepoint|Web Security|8.5|100|Web Request|5|src=192.168.1.100 dst=93.184.216.34 spt=54321 dpt=80 requestMethod=GET request=http://example.com/ cs1=Allow cs1Label=Action cs2=News and Media cs2Label=Category suser=john.doe@company.com
 ```

Google SecOps 剖析器預期會收到 CEF 格式的資料，並擷取下列重要欄位：

src - 來源 IP 位址
dst - 目的地 IP 位址
spt - 來源通訊埠
dpt - 目的地通訊埠
requestMethod - HTTP 方法
request 或 url - 要求的網址
cs1 - 動作 (允許/封鎖)
cs2 - 網址類別
suser - 使用者名稱

確認系統是否正在擷取記錄

設定完成後，請確認記錄檔是否從 Forcepoint Web Security 傳送至 Google SecOps：

在 Forcepoint 控制台中，確認記錄是否正在傳送：
- 依序前往「設定」>「記錄」>「記錄伺服器」。
- 檢查已設定伺服器的「狀態」欄，應顯示「有效」或「已連線」。
- 查看「統計資料」，瞭解傳送的記錄數量。
在 Bindplane 代理程式主機上，檢查代理程式記錄是否有傳入的 Syslog 訊息：
- Linux：
```
 sudo journalctl -u observiq-otel-collector -f
```
  - 尋找包含 CEF 格式訊息的記錄項目：
```
   CEF:0|Forcepoint|Web Security|...
```
- Windows：
  1. 依序選取「應用程式及服務記錄檔」>「observIQ」下方的 Windows 事件檢視器。
  2. 在 Google SecOps 中，確認記錄是否顯示：
    - 依序前往「搜尋」>「UDM 搜尋」。
    - 請使用下列查詢：
```
metadata.vendor_name = "Forcepoint" AND metadata.product_name = "Forcepoint Webproxy"
```
    - 將時間範圍調整為最近幾小時 (例如「過去 1 小時」)。
    - 確認結果中顯示事件。
  3. 確認特定欄位是否正確剖析：
```
metadata.vendor_name = "Forcepoint" AND principal.ip != "" AND target.url != ""
```
  4. 前往「SIEM 設定」>「收集代理程式」，即可查看擷取統計資料：
    - 選取「收到的事件」計數。
    - 確認「上次成功時間」時間戳記是否為最近。

疑難排解

Google SecOps 中未顯示任何記錄

症狀：Bindplane 代理程式正在執行，但 Google SecOps 中未顯示任何記錄。

可能原因：

Forcepoint 與 Bindplane 代理程式之間的網路連線問題。
防火牆封鎖系統記錄連接埠。
通訊協定不符 (在 Bindplane 中設定 TCP，但在 Forcepoint 中設定 UDP，反之亦然)。
Forcepoint 設定中的 Bindplane 代理程式 IP 位址或通訊埠有誤。
Bindplane 中設定的區域端點有誤。
Forcepoint 未啟用 CEF 格式。

解決方法：

確認網路連線：

# From Forcepoint gateway, test connectivity to BindPlane host
telnet <BINDPLANE_IP> 514
# Or for UDP
nc -u <BINDPLANE_IP> 514

檢查 Bindplane 主機上的防火牆規則：

# Linux - Allow port 514 TCP
sudo ufw allow 514/tcp
# Or for UDP
sudo ufw allow 514/udp

# Verify firewall status
sudo ufw status

確認通訊協定是否相符：
- 檢查 Bindplane config.yaml 是否有 tcplog 或 udplog。
- 檢查 Forcepoint 記錄伺服器設定，確認是否使用相符的通訊協定。
確認是否已啟用 CEF 格式：
- 在 Forcepoint Security Manager 中，依序前往「設定」>「記錄」>「記錄伺服器」。
- 確認「格式」已設為「CEF」或「Common Event Format」(通用事件格式)。
驗證區域端點：
- 確認 endpoint 中的 config.yaml 與 Google SecOps 執行個體區域相符。
- 請參閱區域端點說明文件。
檢查 Bindplane 代理程式記錄是否有錯誤：
```
sudo journalctl -u observiq-otel-collector -n 100 --no-pager
```
尋找類似下列內容的錯誤訊息：
- connection refused - 網路/防火牆問題
- authentication failed - 憑證問題
- invalid endpoint - 區域端點問題

通訊協定不符錯誤

症狀：系統未收到記錄、Forcepoint 測試發生連線錯誤，或 Bindplane 記錄中出現 Connection refused 錯誤。

解決方法：

確認在 Bindplane 中設定的通訊協定 (tcplog 或 udplog) 與在 Forcepoint 中設定的通訊協定 (TCP 或 UDP) 相符。

如果使用 TCP 時發生連線問題，請確認 Bindplane 代理程式正在接聽：

# Linux - Check if port is listening
sudo netstat -tuln | grep 514
# Or
sudo ss -tuln | grep 514

如果該連接埠未接聽，請重新啟動 Bindplane 代理程式。

驗證錯誤

症狀：Bindplane 代理程式記錄顯示 Google SecOps 的驗證錯誤。

可能原因：

客戶 ID 不正確。
匯入驗證檔案無效或已過期。
擷取驗證檔案的路徑不正確。
區域端點不正確。

解決方法：

確認 config.yaml 中的客戶 ID 與「SIEM 設定」>「設定檔」中的 ID 相符。
從「SIEM Settings」> Collection Agents 重新下載擷取驗證檔案。
確認 config.yaml 中的路徑指向正確位置。
確認區域端點與 Google SecOps 執行個體區域相符。

確認 Bindplane 代理程式對驗證檔案具有讀取權限：

sudo chmod 644 /path/to/ingestion-authentication-file.json
sudo chown root:root /path/to/ingestion-authentication-file.json

顯示記錄，但未剖析欄位

症狀：記錄會顯示在 Google SecOps 中，但 principal.ip、target.url 等欄位為空白。

可能原因：

記錄不是 CEF 格式。
CEF 格式錯誤或不符合標準。
Bindplane 設定中的記錄類型不符。

解決方法：

在原始記錄中驗證 CEF 格式：
- 在 Google SecOps 中，依序前往「搜尋」>「原始記錄搜尋」。
- 搜尋最近的 Forcepoint 記錄。
- 確認記錄開頭為 CEF:0|Forcepoint|Web Security|。
如果記錄不是 CEF 格式：
- 在 Forcepoint 中，將「Format」變更為「CEF」或「Common Event Format」。
- 重新部署設定。
在 Bindplane config.yaml 中驗證記錄類型：
- 確認 log_type: 'FORCEPOINT_PROXY' 設定正確。
檢查 CEF 欄位名稱變化：
- 部分 Forcepoint 版本可能會使用不同的 CEF 欄位名稱。
- 確認欄位名稱與 UDM 對應表中的預期 CEF 擴充功能相符。

延遲時間長或記錄延遲

症狀：記錄延遲許久 (超過 5 分鐘) 才會顯示在 Google SecOps 中。

可能原因：

Forcepoint 與 Bindplane 代理程式之間的網路延遲。
Bindplane 代理程式資源限制 (CPU/記憶體)。
在 Forcepoint 中啟用批次處理。
Google SecOps 擷取作業積壓。

解決方法：

確認網路延遲時間：

ping <BINDPLANE_IP>
# Check for high latency (>50ms) or packet loss

檢查 Bindplane 代理程式的資源用量：

top
# Look for observiq-otel-collector process
# Verify CPU < 80% and memory is available

在 Forcepoint 中調整批次設定：
- 依序前往「設定」>「記錄」>「記錄伺服器」。
- 將「批次大小」設為 1，即可即時轉送。
- 或是縮短批次間隔，更頻繁地傳送資料。
如果資源受限，請考慮擴充 Bindplane 代理程式主機 (增加 CPU/記憶體)。
如果使用 UDP，請確認網路基礎架構支援所需的輸送量，且不會發生封包遺失問題。

Forcepoint 測試連線失敗

症狀：在 Forcepoint 中按一下「測試連線」時，測試失敗。

解決方法：

確認 Bindplane 代理程式是否正在執行：

sudo systemctl status observiq-otel-collector

確認 Bindplane 代理程式正在監聽設定的通訊埠：
```
sudo netstat -tuln | grep 514
```

暫時停用防火牆進行測試：

# Linux
sudo ufw disable
# Test connection from Forcepoint
# Then re-enable
sudo ufw enable

在測試期間檢查 Bindplane 代理程式記錄：
```
sudo journalctl -u observiq-otel-collector -f
```
- 您應該會看到連線嘗試。
如果測試仍失敗，請確認 Forcepoint 設定中的 IP 位址和通訊埠是否正確。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`action`	`security_result.summary`	如果 `action_msg` 不為空白，則會對應至 `security_result.summary`。否則，如果 `action` 不是空白，就會對應至 `security_result.summary`。否則，如果 `act` 不是空白，則會對應至 `security_result.summary`。
`action_msg`	`security_result.summary`	如果 `action_msg` 不為空白，則會對應至 `security_result.summary`。否則，如果 `action` 不是空白，就會對應至 `security_result.summary`。否則，如果 `act` 不是空白，則會對應至 `security_result.summary`。
`app`	`target.application`	如果 `destinationServiceName` 不為空白，則會對應至 `app_name`。否則，如果 `app` 不為空白，且不包含 http 或 HTTP，則會對應至 `app_name`。最後，`app_name` 會對應到 `target.application`。
`bytes_in`	`network.received_bytes`	如果 `in` 不為空白，則會對應至 `bytes_in`。最後，`bytes_in` 會對應到 `network.received_bytes`。
`bytes_out`	`network.sent_bytes`	如果 `out` 不為空白，則會對應至 `bytes_out`。最後，`bytes_out` 會對應到 `network.sent_bytes`。
`cat`	`security_result.category_details`	如果 `cat` 不為空白，則會對應至 `category`。最後，`category` 會對應到 `security_result.category_details`。
`category_no`	`security_result.detection_fields.value`	如果 `category_no` 不為空白，則會對應至 `security_result.detection_fields.value`，並以 `Category Number` 做為鍵。
`cn1`	`security_result.detection_fields.value`	如果 `cn1` 不為空白，則會對應至 `security_result.detection_fields.value`，並以 `Disposition Number` 做為鍵。
`ContentType`	`target.file.mime_type`	如果 `contentType` 不為空白，則會對應至 `ContentType`。最後，`ContentType` 會對應到 `target.file.mime_type`。
`cs1`	`target_role.description`	「`cs1`」已對應到「`target_role.description`」。
`cs2`	`security_result.category_details`	如果 `cs2` 不是空白且不是 `0`，則會對應至 `security_result.category_details`，並加上前置字串 `Dynamic Category:`。
`cs3`	`target.file.mime_type`	「`cs3`」已對應到「`target.file.mime_type`」。
`description`	`metadata.description`	如果 `description` 不為空白，則會對應至 `metadata.description`。
`destinationServiceName`	`target.application`	如果 `destinationServiceName` 不為空白，則會對應至 `app_name`。最後，`app_name` 會對應到 `target.application`。
`deviceFacility`	`metadata.product_event_type`	如果 `product_event` 和 `deviceFacility` 不是空白，系統會將兩者與 `-` 串連，並對應至 `metadata.product_event_type`。否則，`product_event` 會對應至 `metadata.product_event_type`。
`disposition`	`security_result.detection_fields.value`	如果 `disposition` 不為空白，則會對應至 `security_result.detection_fields.value`，並以 `Disposition Number` 做為鍵。
`dst`	`target.ip`	如果 `dst` 不為空白，但 `dvchost` 為空白，則會對應至 `dst_ip`。最後，`dst_ip` 會對應到 `target.ip`。
`dst_host`	`target.hostname`	如果 `dst` 不為空白，但 `dvchost` 為空白，則會對應至 `dst_host`。最後，`dst_host` 會對應到 `target.hostname`。
`dst_ip`	`target.ip`	如果 `dst` 不為空白，但 `dvchost` 為空白，則會對應至 `dst_ip`。最後，`dst_ip` 會對應到 `target.ip`。
`dst_port`	`target.port`	如果 `dst` 不為空白，但 `dvchost` 為空白，則會對應至 `dst_port`。最後，`dst_port` 會對應到 `target.port`。
`duration`	`network.session_duration.seconds`	如果 `duration` 不是空白且不是 `0`，則會對應至 `network.session_duration.seconds`。
`dvchost`	`intermediary.ip`	如果 `dvchost` 不為空白，則會對應至 `int_ip`。最後，如果 `int_ip` 是有效的 IP 位址，則會對應至 `intermediary.ip`，否則會對應至 `intermediary.hostname`。
`file_path`	`target.file.full_path`	如果 `file_path` 不為空白，則會對應至 `target.file.full_path`。
`host`	`principal.ip`	如果 `host` 不為空白，則會對應至 `src`。最後，`src` 會對應到 `principal.ip`。
`http_method`	`network.http.method`	如果 `requestMethod` 不為空白，則會對應至 `http_method`。否則，如果 `method` 不是空白，就會對應至 `http_method`。最後，`http_method` 會對應到 `network.http.method`。
`http_proxy_status_code`	`network.http.response_code`	如果 `http_response` 為空白、`0` 或 `-`，且 `http_proxy_status_code` 不為空白，則會對應至 `network.http.response_code`。
`http_response`	`network.http.response_code`	如果 `http_response` 不是空白、不是 `0`，也不是 `-`，則會對應至 `network.http.response_code`。
`http_user_agent`	`network.http.user_agent`	如果 `http_user_agent` 不為空白且不是 `-`，則會對應至 `network.http.user_agent`。
`in`	`network.received_bytes`	如果 `in` 不為空白，則會對應至 `bytes_in`。最後，`bytes_in` 會對應到 `network.received_bytes`。
`int_host`	`intermediary.hostname`	如果 `int_ip` 和 `int_host` 皆不為空值，且 `int_host` 與 `int_ip` 不同，則會對應至 `intermediary.hostname`。
`int_ip`	`intermediary.ip`	如果 `dvchost` 不為空白，則會對應至 `int_ip`。最後，如果 `int_ip` 是有效的 IP 位址，則會對應至 `intermediary.ip`，否則會對應至 `intermediary.hostname`。
`level`	`target_role.name`	如果 `level` 不為空白，但 `role` 為空白，則會對應至 `role`。最後，`role` 會對應到 `target_role.name`。
`log_level`	`security_result.severity`	如果 `severity` 為 `1`，或 `log_level` 包含 `info`，或 `message` 包含 `notice`，則 `security_result.severity` 會設為 `INFORMATIONAL`。如果 `severity` 為 `7`，則 `security_result.severity` 會設為 `HIGH`。
`loginID`	`principal.user.userid`	如果 `loginID` 不為空白，則會對應至 `user`。最後，如果 `user` 不是空白且不是 `-`，且不包含 `LDAP`，則會對應至 `principal.user.userid`。
`method`	`network.http.method`	如果 `requestMethod` 不為空白，則會對應至 `http_method`。否則，如果 `method` 不是空白，就會對應至 `http_method`。最後，`http_method` 會對應到 `network.http.method`。
`NatRuleId`	`security_result.detection_fields.value`	如果 `NatRuleId` 不為空白，系統會將其對應至以 `NatRuleId` 為鍵的 `security_result.detection_fields.value`。
`out`	`network.sent_bytes`	如果 `out` 不為空白，則會對應至 `bytes_out`。最後，`bytes_out` 會對應到 `network.sent_bytes`。
`pid`	`target.process.pid`	如果 `pid` 不為空白，則會對應至 `target.process.pid`。
`policy`	`target_role.description`	如果 `Policy` 不為空白，則會對應至 `policy`。如果 `policy` 不是空白且不是 `-`，則會對應至 `target_role.description`。
`Policy`	`target_role.description`	如果 `Policy` 不為空白，則會對應至 `policy`。如果 `policy` 不是空白且不是 `-`，則會對應至 `target_role.description`。
`product_event`	`metadata.product_event_type`	如果 `product` 不為空白，則會對應至 `product_event`。如果 `product_event` 和 `deviceFacility` 不是空白，系統會將兩者與 `-` 串連，並對應至 `metadata.product_event_type`。否則，`product_event` 會對應至 `metadata.product_event_type`。
`proxyStatus-code`	`network.http.response_code`	如果 `http_response` 為空白、`0` 或 `-`，且 `http_proxy_status_code` 為空白但 `proxyStatus-code` 不為空白，則會對應至 `network.http.response_code`。
`refererUrl`	`network.http.referral_url`	如果 `refererUrl` 不是空白且不是 `-`，則會對應至 `network.http.referral_url`。
`requestClientApplication`	`network.http.user_agent`	如果 `requestMethod` 不為空白，則會對應至 `http_user_agent`。最後，`http_user_agent` 會對應到 `network.http.user_agent`。
`requestMethod`	`network.http.method`	如果 `requestMethod` 不為空白，則會對應至 `http_method`。最後，`http_method` 會對應到 `network.http.method`。
`role`	`target_role.name`	如果 `level` 不為空白，但 `role` 為空白，則會對應至 `role`。最後，`role` 會對應到 `target_role.name`。
`RuleID`	`security_result.rule_id`	如果 `RuleID` 不為空白，則會對應至 `security_result.rule_id`。
`serverStatus-code`	`network.http.response_code`	如果 `http_response` 為空白、`0` 或 `-`，且 `http_proxy_status_code` 為空白但 `proxyStatus-code` 不為空白，則會對應至 `network.http.response_code`。
`severity`	`security_result.severity`	如果 `severity` 為 `1`，或 `log_level` 包含 `info`，或 `message` 包含 `notice`，則 `security_result.severity` 會設為 `INFORMATIONAL`。如果 `severity` 為 `7`，則 `security_result.severity` 會設為 `HIGH`。
`spt`	`principal.port`	如果 `spt` 不為空白，則會對應至 `src_port`。最後，`src_port` 會對應到 `principal.port`。
`src`	`principal.ip`	如果 `src_host` 不為空白，則會對應至 `source_ip_temp`。如果 `source_ip_temp` 是有效的 IP 位址，且 `src` 為空，則會對應至 `src`。如果 `host` 不為空白，則會對應至 `src`。最後，`src` 會對應到 `principal.ip`。
`src_host`	`principal.hostname`	如果 `src_host` 不為空白，則會對應至 `source_ip_temp`。如果 `source_ip_temp` 不是有效的 IP 位址，則會對應至 `principal.hostname`。如果 `source_ip_temp` 是有效的 IP 位址，且 `src` 為空，則會對應至 `src`。最後，`src` 會對應到 `principal.ip`。
`src_port`	`principal.port`	如果 `src_port` 不為空白，則會對應至 `principal.port`。
`suser`	`principal.user.userid`	如果 `loginID` 不為空白，則會對應至 `user`。如果 `suser` 不為空白，則會對應至 `user`。最後，如果 `user` 不是空白且不是 `-`，且不包含 `LDAP`，則會對應至 `principal.user.userid`。
`url`	`target.url`	如果 `url` 不為空白，則會對應至 `target.url`。
`user`	`principal.user.userid`	如果 `loginID` 不為空白，則會對應至 `user`。如果 `suser` 不為空白，則會對應至 `user`。否則，如果 `usrName` 不是空白，就會對應至 `user`。最後，如果 `user` 不是空白且不是 `-`，且不包含 `LDAP`，則會對應至 `principal.user.userid`。
`usrName`	`principal.user.userid`	如果 `loginID` 不為空白，則會對應至 `user`。如果 `suser` 不為空白，則會對應至 `user`。否則，如果 `usrName` 不是空白，就會對應至 `user`。最後，如果 `user` 不是空白且不是 `-`，且不包含 `LDAP`，則會對應至 `principal.user.userid`。
`when`	`metadata.event_timestamp`	如果 `when` 不為空白，系統會剖析並對應至 `metadata.event_timestamp`。
不適用	`metadata.log_type`	值 `FORCEPOINT_WEBPROXY` 會硬式編碼至 `metadata.log_type`。
不適用	`metadata.product_name`	值 `Forcepoint Webproxy` 會硬式編碼至 `metadata.product_name`。
不適用	`metadata.vendor_name`	值 `Forcepoint` 會硬式編碼至 `metadata.vendor_name`。
不適用	`network.application_protocol`	如果 `dst_port` 為 `80`，則 `network.application_protocol` 會設為 `HTTP`。如果 `dst_port` 為 `443`，則 `network.application_protocol` 會設為 `HTTPS`。
不適用	`principal.user.group_identifiers`	如果 `user` 不為空白且不是 `-`，並包含 `LDAP`，系統會擷取使用者字串的 OU 部分，並對應至 `principal.user.group_identifiers`。
不適用	`principal.user.user_display_name`	如果 `user` 不為空白且不是 `-`，並包含 `LDAP`，系統會擷取使用者字串的使用者名稱部分，並對應至 `principal.user.user_display_name`。
不適用	`security_result.action`	如果 `action_msg`、`action` 或 `act` 不為空，系統會根據這些值將 `sec_action` 設為 `ALLOW` 或 `BLOCK`。最後，`sec_action` 會對應到 `security_result.action`。
不適用	`security_result.detection_fields.key`	對應 `disposition` 或 `cn1` 時，值 `Disposition Number` 會硬式編碼至 `security_result.detection_fields.key`。對應 `NatRuleId` 時，值 `NatRuleId` 會硬式編碼至 `security_result.detection_fields.key`。對應 `category_no` 時，值 `Category Number` 會硬式編碼至 `security_result.detection_fields.key`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。