ForgeRock OpenIDM-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie ForgeRock OpenIDM-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

ForgeRock OpenIDM (jetzt PingIDM) ist eine Plattform zur Identitätsverwaltung, die Nutzerbereitstellung, Synchronisierung, Passwortverwaltung und Zugriffsverwaltung bietet. Es werden Identitätslebenszyklus-Ereignisse, Authentifizierungsversuche, Abgleichsvorgänge und Konfigurationsänderungen in Audit-Logs protokolliert, auf die über REST zugegriffen werden kann.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein GCP-Projekt mit aktivierter Cloud Storage API
Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
Privilegierter Zugriff auf die ForgeRock OpenIDM- oder PingIDM-Instanz mit Administratoranmeldedaten

Google Cloud Storage-Bucket erstellen

Gehen Sie zur Google Cloud Console.
Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
Klicken Sie auf Bucket erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. `forgerock-openidm-audit-logs`.
Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
Standort	Wählen Sie den Speicherort aus, z. B. `us-central1`.
Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
Zugriffskontrolle	Einheitlich (empfohlen)
Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

Klicken Sie auf Erstellen.

ForgeRock OpenIDM-Anmeldedaten erfassen

ForgeRock OpenIDM-Basis-URL abrufen

Melden Sie sich in Ihrer ForgeRock OpenIDM- oder PingIDM-Instanz an.
Notieren Sie sich die Basis-URL aus der Adressleiste des Browsers.
- Format: https://openidm.example.com
- Fügen Sie keine nachgestellten Schrägstriche oder Pfade wie /admin ein.

Administratoranmeldedaten abrufen

Rufen Sie Administratoranmeldedaten für Ihre ForgeRock OpenIDM-Instanz ab.
Folgendes wird benötigt:
- Nutzername: Administratornutzername (z. B. openidm-admin)
- Passwort: Administratorpasswort
Hinweis :Das Nutzerkonto muss Berechtigungen zum Abfragen von Audit-Logs über die REST API haben. Der Standardnutzer openidm-admin hat diese Berechtigungen.

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

Melden Sie sich in ForgeRock OpenIDM an.
Gehen Sie zu Konfigurieren > Systemeinstellungen > Audit.
Wenn Sie die Audit-Konfiguration und Themen sehen können, haben Sie die erforderlichen Berechtigungen.
Wenn Sie diese Option nicht sehen, bitten Sie Ihren Administrator, Ihnen Leseberechtigungen für das Audit zu erteilen.

API-Zugriff testen

Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

# Replace with your actual credentials
OPENIDM_BASE_URL="https://openidm.example.com"
OPENIDM_USERNAME="openidm-admin"
OPENIDM_PASSWORD="your-admin-password"

# Test API access to authentication audit topic
curl -v \
    -H "X-OpenIDM-Username: ${OPENIDM_USERNAME}" \
    -H "X-OpenIDM-Password: ${OPENIDM_PASSWORD}" \
    -H "Accept-API-Version: resource=1.0" \
    -H "Accept: application/json" \
    "${OPENIDM_BASE_URL}/openidm/audit/authentication?_queryFilter=true&_pageSize=1"

Erwartete Antwort: HTTP 200 mit JSON-Code, der Audit-Ereignisse enthält.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
Klicken Sie auf Dienstkonto erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Name des Dienstkontos: Geben Sie forgerock-openidm-collector-sa ein.
- Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect ForgeRock OpenIDM logs ein.
Klicken Sie auf Erstellen und fortfahren.
Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
1. Klicken Sie auf Rolle auswählen.
2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
3. Klicken Sie auf + Weitere Rolle hinzufügen.
4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
5. Klicken Sie auf + Weitere Rolle hinzufügen.
6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets, z. B. forgerock-openidm-audit-logs.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. forgerock-openidm-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

Rufen Sie in der GCP Console Pub/Sub > Themen auf.
Klicken Sie auf Thema erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- Themen-ID: Geben Sie forgerock-openidm-trigger ein.
- Übernehmen Sie die anderen Einstellungen.
Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der ForgeRock OpenIDM API abzurufen und in GCS zu schreiben.

Rufen Sie in der GCP Console Cloud Run auf.
Klicken Sie auf Dienst erstellen.
Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

Einstellung	Wert
Dienstname	`forgerock-openidm-collector`
Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. `us-central1`).
Laufzeit	Wählen Sie Python 3.12 oder höher aus.

Im Abschnitt Trigger (optional):
1. Klicken Sie auf + Trigger hinzufügen.
2. Wählen Sie Cloud Pub/Sub aus.
3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema forgerock-openidm-trigger aus.
4. Klicken Sie auf Speichern.
Im Abschnitt Authentifizierung:
1. Wählen Sie Authentifizierung erforderlich aus.
2. Identitäts- und Zugriffsverwaltung
Hinweis: Pub/Sub übernimmt die Authentifizierung beim Aufrufen der Funktion automatisch.
Scrollen Sie zu Container, Netzwerk, Sicherheit und maximieren Sie diesen Bereich.
Rufen Sie den Tab Sicherheit auf:
- Dienstkonto: Wählen Sie das Dienstkonto forgerock-openidm-collector-sa aus.

Rufen Sie den Tab Container auf:

Klicken Sie auf Variablen und Secrets.

Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

Variablenname	Beispielwert	Beschreibung
`GCS_BUCKET`	`forgerock-openidm-audit-logs`	Name des GCS-Buckets
`GCS_PREFIX`	`openidm`	Präfix für Protokolldateien
`STATE_KEY`	`openidm/state.json`	Statusdateipfad
`OPENIDM_BASE_URL`	`https://openidm.example.com`	OpenIDM-Basis-URL
`OPENIDM_USERNAME`	`openidm-admin`	OpenIDM-Administratornutzername
`OPENIDM_PASSWORD`	`your-admin-password`	OpenIDM-Administratorpasswort
`AUDIT_TOPICS`	`access,activity,authentication,config,sync`	Durch Kommas getrennte Prüfungsthemen
`PAGE_SIZE`	`100`	Datensätze pro Seite
`MAX_PAGES`	`50`	Maximale Anzahl von Seiten pro Thema

Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:
- Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.
Rufen Sie den Tab Einstellungen auf:
- Im Abschnitt Ressourcen:
  - Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
  - CPU: Wählen Sie 1 aus.
- Im Abschnitt Versionsskalierung:
  - Mindestanzahl von Instanzen: Geben Sie 0 ein.
  - Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).
Klicken Sie auf Erstellen.
Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.
Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

Geben Sie main in das Feld Einstiegspunkt ein.

Erstellen Sie im Inline-Codeeditor zwei Dateien:

Erste Datei: main.py::

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'openidm')
STATE_KEY = os.environ.get('STATE_KEY', 'openidm/state.json')
OPENIDM_BASE_URL = os.environ.get('OPENIDM_BASE_URL')
OPENIDM_USERNAME = os.environ.get('OPENIDM_USERNAME')
OPENIDM_PASSWORD = os.environ.get('OPENIDM_PASSWORD')
AUDIT_TOPICS = os.environ.get('AUDIT_TOPICS', 'access,activity,authentication,config,sync').split(',')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
MAX_PAGES = int(os.environ.get('MAX_PAGES', '50'))

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch ForgeRock OpenIDM logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, OPENIDM_BASE_URL, OPENIDM_USERNAME, OPENIDM_PASSWORD]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        all_events = []
        for topic in AUDIT_TOPICS:
            topic = topic.strip()
            print(f"Fetching audit logs for topic: {topic}")
            events = fetch_audit_logs(topic, state.get(topic, {}))
            all_events.extend(events)

            if events:
                latest_timestamp = max(e.get('timestamp', '') for e in events)
                state[topic] = {
                    'last_timestamp': latest_timestamp,
                    'last_run': datetime.now(timezone.utc).isoformat(),
                    'events_count': len(events)
                }

        if all_events:
            write_to_gcs(bucket, all_events)
            save_state(bucket, STATE_KEY, state)
            print(f"Successfully processed {len(all_events)} audit events")
        else:
            print("No new audit events to process")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: {json.dumps(state)}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_audit_logs(topic, topic_state):
    """
    Fetch audit logs from ForgeRock OpenIDM API with pagination.

    Args:
        topic: Audit topic name
        topic_state: State dictionary for this topic

    Returns:
        List of audit events
    """
    base_url = OPENIDM_BASE_URL.rstrip('/')

    all_events = []
    last_timestamp = topic_state.get('last_timestamp')

    query_filter = 'true'
    if last_timestamp:
        query_filter = f'timestamp gt "{last_timestamp}"'

    page_offset = 0
    page_count = 0

    while page_count < MAX_PAGES:
        try:
            url = f"{base_url}/openidm/audit/{topic}"
            params = {
                '_queryFilter': query_filter,
                '_pageSize': str(PAGE_SIZE),
                '_pagedResultsOffset': str(page_offset),
                '_sortKeys': 'timestamp'
            }

            query_string = '&'.join([f"{k}={urllib3.request.urlencode({k: v})[len(k)+1:]}" for k, v in params.items()])
            full_url = f"{url}?{query_string}"

            headers = {
                'X-OpenIDM-Username': OPENIDM_USERNAME,
                'X-OpenIDM-Password': OPENIDM_PASSWORD,
                'Accept-API-Version': 'resource=1.0',
                'Accept': 'application/json'
            }

            response = http.request('GET', full_url, headers=headers)

            if response.status != 200:
                print(f"API error for topic {topic}: {response.status} - {response.data.decode('utf-8')}")
                break

            data = json.loads(response.data.decode('utf-8'))
            events = data.get('result', [])

            if not events:
                print(f"No more events for topic {topic}")
                break

            all_events.extend(events)
            page_offset += PAGE_SIZE
            page_count += 1

            print(f"Fetched page {page_count} for topic {topic}, total events: {len(all_events)}")

            if len(events) < PAGE_SIZE:
                break

        except urllib3.exceptions.HTTPError as e:
            print(f"HTTP error for topic {topic}: {str(e)}")
            break
        except json.JSONDecodeError as e:
            print(f"JSON decode error for topic {topic}: {str(e)}")
            break
        except Exception as e:
            print(f"Unexpected error for topic {topic}: {str(e)}")
            break

    return all_events

def write_to_gcs(bucket, events):
    """Write events to GCS as NDJSON."""
    timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
    filename = f"{GCS_PREFIX}/openidm_audit_{timestamp}.json"

    ndjson_content = '\n'.join([json.dumps(event) for event in events])

    blob = bucket.blob(filename)
    blob.upload_from_string(
        ndjson_content.encode('utf-8'),
        content_type='application/x-ndjson'
    )

    print(f"Wrote {len(events)} events to gs://{GCS_BUCKET}/{filename}")

Zweite Datei: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.
Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Hinweis :Bei der Konfiguration des Pub/Sub-Triggers werden automatisch die erforderlichen Abos und Berechtigungen erstellt.

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

Rufen Sie in der GCP Console Cloud Scheduler auf.
Klicken Sie auf Job erstellen.

Geben Sie die folgenden Konfigurationsdetails an:

Einstellung	Wert
Name	`forgerock-openidm-collector-hourly`
Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
Frequenz	`0 * * * *` (jede Stunde, zur vollen Stunde)
Zeitzone	Zeitzone auswählen (UTC empfohlen)
Zieltyp	Pub/Sub
Thema	Wählen Sie das Pub/Sub-Thema `forgerock-openidm-trigger` aus.
Nachrichtentext	`{}` (leeres JSON-Objekt)

Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	`/5 * * *`	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	`/15 * * *`	Mittleres Suchvolumen
Stündlich	`0 * * * *`	Standard (empfohlen)
Alle 6 Stunden	`0 /6 * *`	Geringes Volumen, Batchverarbeitung
Täglich	`0 0 * * *`	Erhebung von Verlaufsdaten

Integration testen

Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job forgerock-openidm-collector-hourly.
Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
Warten Sie einige Sekunden.
Rufen Sie Cloud Run > Dienste auf.
Klicken Sie auf den Namen Ihrer Funktion forgerock-openidm-collector.
Klicken Sie auf den Tab Logs.

Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

Fetching audit logs for topic: access
Fetched page 1 for topic access, total events: X
Wrote X events to gs://forgerock-openidm-audit-logs/openidm/openidm_audit_YYYYMMDD_HHMMSS.json
Successfully processed X audit events

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets forgerock-openidm-audit-logs.
Rufen Sie den Präfixordner openidm/ auf.
Prüfen Sie, ob eine neue .json-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

HTTP 401: OpenIDM-Anmeldedaten in Umgebungsvariablen prüfen
HTTP 403: Prüfen Sie, ob das Konto Leseberechtigungen für die Prüfung hat.
HTTP 404: Prüfen Sie, ob OPENIDM_BASE_URL korrekt ist und keine nachgestellten Pfade enthält.
Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

Feed in Google SecOps konfigurieren, um ForgeRock OpenIDM-Logs aufzunehmen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf Einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ForgeRock OpenIDM Audit Logs.
Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
Wählen Sie FORGEROCK_OPENIDM als Log type (Protokolltyp) aus.
Klicken Sie auf Dienstkonto abrufen.
Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Kopieren Sie diese E-Mail-Adresse. Sie verwenden es in der nächsten Aufgabe.

Hinweis :Jede Google SecOps-Instanz hat ein eindeutiges Dienstkonto. Verwenden Sie keine Dienstkonten aus anderer Dokumentation oder anderen Beispielen.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:
```
gs://forgerock-openidm-audit-logs/openidm/
```
- Ersetzen Sie:
  - forgerock-openidm-audit-logs: Der Name Ihres GCS-Buckets.
  - openidm: Der Präfixpfad, in dem Logs gespeichert werden.
Hinweis :Fügen Sie immer den Schrägstrich (/) am Ende des URI ein.
- Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:
  - Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
  - Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
  - Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.
Hinweis :Wenn Sie eine Löschoption auswählen, muss das Dienstkonto die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ haben. Aktualisieren Sie die IAM-Berechtigungen entsprechend.
- Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

Rufen Sie Cloud Storage > Buckets auf.
Klicken Sie auf den Namen Ihres Buckets forgerock-openidm-audit-logs.
Wechseln Sie zum Tab Berechtigungen.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Konfigurationsdetails an:
- Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
- Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
Klicken Sie auf Speichern.

Hinweis: Wenn Sie die Löschoption „Übertragene Dateien löschen“ oder „Übertragene Dateien und leere Verzeichnisse löschen“ verwenden möchten, weisen Sie die Rolle Storage-Objekt-Administrator anstelle von „Storage-Objekt-Betrachter“ zu.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
additional_label, additional_elapsed_time, additional_ContentLength, additional_accept_encoding, additional_Accept, additional_accept_language, additional_origin_hop, additional_cache_control, additional_Connection, additional_Cookie, additional_Pragma, additional_exchange_id, additional_contentType, additional_X-content_type-Options, fluenttag_label, source_label, topic_label, request_protocol_label, taskName_label, linkQualifier_label, situation_label, mapping_label, eventid_label, context_roles_label, field_names_label	additional.fields	Zusätzliche Schlüssel/Wert-Paare
Via	intermediary.hostname	Hostname des Vermittlers
x_forwarded_ip, ip, caller.callerIps	intermediary.ip	IP-Adresse des Vermittlers
timestamp	metadata.event_timestamp	Zeitstempel des Ereignisses
	metadata.event_type	Art des Ereignisses
transactionId	metadata.product_deployment_id	Bereitstellungskennung des Produkts
eventName	metadata.product_event_type	Ereignistyp aus dem Produkt
_id, trackingIds	metadata.product_log_id	Log-ID aus dem Produkt
http.request.secure	network.application_protocol	Anwendungsprotokoll
http_version	network.application_protocol_version	Version des Anwendungsprotokolls
request_method, http.request.method	network.http.method	HTTP-Methode
user_agent, http.request.headers.user_agent.0	network.http.parsed_user_agent	Geprüfter User-Agent
refferal_url	network.http.referral_url	Empfehlungs-URL
response.statusCode, status_code	network.http.response_code	HTTP-Antwortcode
user_agent, http.request.headers.user_agent	network.http.user_agent	User-Agent-String
transaction_id, transactionId	network.session_id	Sitzungs-ID
Host	principal.asset.hostname	Hostname des Assets des Auftraggebers
true_client_ip, client.ip, context.ipAddress, entry.info.ipAddress, src_ip	principal.asset.ip	IP-Adresse des Assets des Auftraggebers
Host	principal.hostname	Hostname des Prinzipals
true_client_ip, client.ip, context.ipAddress, entry.info.ipAddress, src_ip	principal.ip	IP-Adresse des Auftraggebers
client.port, src_port	principal.port	Port des Auftraggebers
component_label, moduleId_label, query_id_label	principal.resource.attribute.labels	Attributlabels für die Ressource des Kontoinhabers
entry.info.treeName	principal.resource.name	Name der Ressource des Hauptkontos
sourceObjectId, objectId, entry.info.nodeId	principal.resource.product_object_id	Produktobjekt-ID für die Ressource des Prinzipal
entry.info.authLevel	principal.resource.resource_subtype	Untertyp der Ressourcen des Prinzipal
user_roles_property_label, authentication_id_label, authentication_id_property_label	principal.user.attribute.labels	Attributlabels für den Nutzer des Auftraggebers
userId, principalData.0	principal.user.userid	Nutzer-ID des Prinzipal
security_action	security_result.action	Im Sicherheitsergebnis ergriffene Maßnahme
Ergebnis, Aktion	security_result.action_details	Details der Aktion
result_label, moduleId_label, nodeType_label, displayName_label, nodeOutcome_label, elapsedTimeUnits_label, elapsedTime_label, operation_label, taskName_label, linkQualifier_label, situation_label, mapping_label	security_result.detection_fields	Erkennungsfelder
level	security_result.severity	Schweregrad des Sicherheitsergebnisses
level	security_result.severity_details	Details zum Schweregrad
response_detail_reason	security_result.summary	Zusammenfassung des Sicherheitsergebnisses
http.request.headers.host.0	target.asset.hostname	Hostname des Assets des Ziels
server.ip, x_forwarded_ip	target.asset.ip	IP-Adresse des Assets des Ziels
http.request.headers.host.0	target.hostname	Hostname des Ziels
server.ip, x_forwarded_ip	target.ip	IP-Adresse des Ziels
server.port	target.port	Port des Ziels
targetObjectId	target.resource.product_object_id	Produktobjekt-ID für die Ressource des Ziels
http.request.path	target.url	URL des Ziels
	metadata.product_name	Name des Produkts
	metadata.vendor_name	Name des Anbieters

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten