Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di VMware Aria Suite (in precedenza VMware vRealize Suite)

Supportato in:

Google SecOps SIEM

Questa guida spiega come importare i log di VMware Aria Suite (precedentemente nota come VMware vRealize Suite) in Google Security Operations utilizzando Bindplane.

VMware Aria Suite (in precedenza VMware vRealize Suite, ora disponibile come parte di VMware Cloud Foundation e vSphere Foundation) è una piattaforma di gestione del cloud che fornisce gestione delle operazioni, automazione, analisi dei log e visibilità della rete per ambienti ibridi e multi-cloud. Il parser estrae i campi dai messaggi syslog utilizzando i pattern grok in base al campo msg_type, li mappa al modello Unified Data Model (UDM) e arricchisce i dati con informazioni di rete, dettagli utente e attributi delle risorse.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'ambiente VMware Aria Suite
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo a VMware Aria Operations (o VMware Aria Suite)

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.sh

Attendi il completamento dell'installazione.

Verifica l'installazione eseguendo:

sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/vmware_vrealize:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VMWARE_VREALIZE
        raw_log_field: body

service:
    pipelines:
        logs/vmware_vrealize_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/vmware_vrealize

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta su cui ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: Percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows:

Scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
```
  sc query observiq-otel-collector
```

Controlla i log per individuare eventuali errori:

  type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di syslog in VMware Aria Operations

Accedi alla UI web di VMware Aria Operations.
Vai ad Amministrazione > Gestione > Impostazioni in uscita.
Fai clic su Aggiungi.
Nel menu a discesa Tipo di plug-in, seleziona Syslog.
Fornisci i seguenti dettagli di configurazione:
- Nome istanza: inserisci un nome univoco per identificare la destinazione syslog (ad esempio, Chronicle-Bindplane).
- Nodo: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
- Porta: inserisci 514.
- Protocollo: seleziona UDP.
Fai clic su Testa per verificare la connessione all'agente Bindplane.
Fai clic su Salva per applicare le impostazioni di syslog in uscita.

Nota :assicurati che VMware Aria Operations sia configurato per inviare i log nel fuso orario UTC per evitare problemi di analisi dei timestamp.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`actorDomain`	`principal.hostname`	Il valore di actorDomain del log non elaborato viene mappato al campo UDM.
`actorId`	`principal.resource.attribute.labels.key`	La stringa "actorId" è assegnata alla chiave.
`actorId`	`principal.resource.attribute.labels.value`	Il valore di actorId del log non elaborato viene assegnato al valore.
`actorId`	`additional.fields.key`	La stringa "actorId" è assegnata alla chiave.
`actorId`	`additional.fields.value.string_value`	Il valore di actorId del log non elaborato viene assegnato al valore.
`actorUserName`	`principal.user.userid`	Il valore di actorUserName del log non elaborato viene mappato al campo UDM.
`actorUuid`	`principal.resource.attribute.labels.key`	La stringa "actorUuid" è assegnata alla chiave.
`actorUuid`	`principal.resource.attribute.labels.value`	Il valore di actorUuid del log non elaborato viene assegnato al valore.
`actorUuid`	`additional.fields.key`	La stringa "actorUuid" è assegnata alla chiave.
`actorUuid`	`additional.fields.value.string_value`	Il valore di actorUuid del log non elaborato viene assegnato al valore.
`all_request_headers.sec-ch-ua-platform`	`principal.platform`	Il valore è derivato da all_request_headers.sec-ch-ua-platform. Se contiene "win" o "windows" (senza distinzione tra maiuscole e minuscole), il valore è "WINDOWS". Se contiene "Mac" (senza distinzione tra maiuscole e minuscole), il valore è "MAC". Se contiene "lin" o "linux" (senza distinzione tra maiuscole e minuscole), il valore è "LINUX".
`all_request_headers.X-Requested-With`	`network.application_protocol`	Se il valore contiene "http" (senza distinzione tra maiuscole e minuscole), il valore viene impostato su "HTTP".
`automation_tag`	`metadata.product_event_type`	Il valore di automation_tag del log non elaborato viene mappato al campo UDM.
`client_ip`	`principal.ip`	Il valore di client_ip del log non elaborato viene mappato al campo UDM.
`client_src_port`	`principal.port`	Il valore di client_src_port del log non elaborato viene mappato al campo UDM.
`comp`	`about.resource.attribute.labels.key`	La stringa "Componente" è assegnata alla chiave.
`comp`	`about.resource.attribute.labels.value`	Il valore di comp del log non elaborato viene assegnato al valore.
`compression`	`additional.fields.key`	La stringa "compressione" è assegnata al tasto.
`compression`	`additional.fields.value.string_value`	Il valore della compressione dal log non elaborato viene assegnato al valore.
`data`	`about.resource.attribute.labels.key`	La logica dipende da msg_type. Se msg_type è "Vpxa", "Hostd" o "VSANMGMTSVC", il campo dati viene analizzato utilizzando coppie chiave-valore e chiavi specifiche (come opID, sub) vengono mappate a about.resource.attribute.labels. Se msg_type è "SWITCHING", "FABRIC", "MONITORING", "SYSTEM", "ROUTING", "LOAD", "nsx", "nestdb", "cfgAgent", "NSX" o "NSXV", il campo dati viene analizzato per trovare chiavi come comp, subcomp, s2comp, che vengono poi mappate a about.resource.attribute.labels.
`data`	`about.resource.attribute.labels.value`	Vedi la logica per about.resource.attribute.labels.key.
`data`	`security_result.description`	Se msg_type è "Vpxa", "Hostd" o "VSANMGMTSVC" e dopo l'analisi dei dati per le coppie chiave-valore, se esiste un campo msg, il relativo valore viene assegnato a security_result.description.
`description`	`security_result.description`	Se il campo della descrizione esiste nel log non elaborato, il suo valore viene mappato al campo UDM.
`deviceId`	`principal.resource.attribute.labels.key`	La stringa "deviceType" è assegnata alla chiave.
`deviceId`	`principal.resource.attribute.labels.value`	Il valore di values.deviceType del log non elaborato viene assegnato a value.
`deviceId`	`additional.fields.key`	La stringa "deviceType" è assegnata alla chiave.
`deviceId`	`additional.fields.value.string_value`	Il valore di values.deviceType del log non elaborato viene assegnato a value.
`direction`	`network.direction`	Se il valore è "OUT", viene mappato a "OUTBOUND". Se è "IN", viene mappato su "INBOUND".
`dst_ip`	`target.ip`	Il valore di dst_ip del log non elaborato viene mappato al campo UDM.
`dst_port`	`target.port`	Il valore di dst_port del log non elaborato viene mappato al campo UDM.
`event_source`	`principal.url`	Il valore di event_source del log non elaborato viene mappato al campo UDM.
`headers_received_from_server.Access-Control-Allow-Origin`	`target.resource.attribute.labels.key`	La stringa "headers_received_from_server.Access-Control-Allow-Origin" è assegnata alla chiave.
`headers_received_from_server.Access-Control-Allow-Origin`	`target.resource.attribute.labels.value`	Il valore di headers_received_from_server.Access-Control-Allow-Origin del log non elaborato viene assegnato al valore.
`headers_received_from_server.Content-Security-Policy`	`principal.resource.attribute.labels.key`	La stringa "headers_received_from_server.Content-Security-Policy" è assegnata alla chiave.
`headers_received_from_server.Content-Security-Policy`	`principal.resource.attribute.labels.value`	Il valore di headers_received_from_server.Content-Security-Policy del log non elaborato viene assegnato al valore.
`headers_received_from_server.Cookie`	`target.resource.attribute.labels.key`	La stringa "headers_received_from_server.Cookie" è assegnata alla chiave.
`headers_received_from_server.Cookie`	`target.resource.attribute.labels.value`	Il valore di headers_sent_to_server.Cookie del log non elaborato viene assegnato al valore.
`headers_received_from_server.set-cookie`	`target.resource.attribute.labels.key`	La stringa "headers_received_from_server.set-cookie" è assegnata alla chiave.
`headers_received_from_server.set-cookie`	`target.resource.attribute.labels.value`	Al valore viene assegnato il valore di headers_received_from_server.set-cookie del log non elaborato.
`headers_sent_to_server.sec-ch-ua`	`principal.resource.attribute.labels.key`	La stringa "headers_sent_to_server.sec-ch-ua" è assegnata alla chiave.
`headers_sent_to_server.sec-ch-ua`	`principal.resource.attribute.labels.value`	Il valore di headers_sent_to_server.sec-ch-ua del log non elaborato viene assegnato al valore.
`headers_sent_to_server.X-CSRF-TOKEN`	`principal.resource.attribute.labels.key`	La stringa "headers_sent_to_server.X-CSRF-TOKEN" è assegnata alla chiave.
`headers_sent_to_server.X-CSRF-TOKEN`	`principal.resource.attribute.labels.value`	Il valore di headers_sent_to_server.X-CSRF-TOKEN del log non elaborato viene assegnato al valore.
`hostname`	`principal.hostname`	Il valore del nome host del log non elaborato viene mappato al campo UDM.
`hostname`	`intermediary.hostname`	Il valore del nome host del log non elaborato viene mappato al campo UDM.
`host`	`principal.hostname`	Il valore dell'host del log non elaborato viene mappato al campo UDM.
`isLocal`	`additional.fields.key`	La stringa "isLocal" è assegnata alla chiave.
`isLocal`	`additional.fields.value.string_value`	Al valore viene assegnato il valore di isLocal dal log non elaborato.
`json_data`	`Various fields within principal, target, additional, and security_result`	Il campo json_data del log non elaborato viene analizzato come JSON e i campi estratti vengono mappati a vari campi UDM in base ai loro nomi e alla logica dell'analizzatore. Sono inclusi campi come uuid, tenantId, actorId, actorUserName, actorDomain, sourceIp, objectName, objectType, objectId, values.resourceType, values.success e altri.
`kv_data`	`Various fields`	Il campo kv_data viene analizzato come coppie chiave-valore e i campi estratti vengono mappati a vari campi UDM in base ai loro nomi e alla logica del parser.
`level`	`security_result.severity`	Se il valore è "info" (senza distinzione tra maiuscole e minuscole), viene mappato su "INFORMATIONAL".
`log_id`	`metadata.product_log_id`	Il valore di log_id del log non elaborato viene mappato al campo UDM.
`message`	`Various fields`	Il campo del messaggio è la principale origine dei dati e viene analizzato in modo approfondito utilizzando i pattern grok per estrarre vari campi come ts, hostname, msg_type, sub_msg e altri. Questi campi estratti vengono poi utilizzati per compilare diversi campi UDM in base alla logica del parser.
`method`	`network.http.method`	Il valore del metodo del log non elaborato viene mappato al campo UDM.
`msg`	`security_result.description`	Se msg_type è "Vpxa", "Hostd", "VSANMGMTSVC", "SWITCHING", "FABRIC", "ROUTING", "LOAD-BALANCER", "nsx", "nestdb", "cfgAgent", "NSX", "NSXV" o "Rhttpproxy" e, dopo l'analisi grok pertinente, se il campo msg esiste, il suo valore viene assegnato a security_result.description. Esistono casi speciali all'interno di questa logica per contenuti di messaggi specifici come "connessione keepalive".
`msg_type`	`metadata.product_event_type`	Se msg_type è "FIREWALL_PKTLOG" o "FIREWALL-PKTLOG", il suo valore viene mappato al campo UDM.
`objectName`	`target.resource.attribute.labels.key`	La stringa "objectName" è assegnata alla chiave.
`objectName`	`target.resource.attribute.labels.value`	Il valore di objectName del log non elaborato viene assegnato al valore.
`objectName`	`additional.fields.key`	La stringa "objectName" è assegnata alla chiave.
`objectName`	`additional.fields.value.string_value`	Il valore di objectName del log non elaborato viene assegnato al valore.
`objectId`	`target.resource.attribute.labels.key`	La stringa "objectId" è assegnata alla chiave.
`objectId`	`target.resource.attribute.labels.value`	Il valore di objectId del log non elaborato viene assegnato al valore.
`objectId`	`additional.fields.key`	La stringa "objectId" è assegnata alla chiave.
`objectId`	`additional.fields.value.string_value`	Il valore di objectId del log non elaborato viene assegnato al valore.
`objectType`	`target.resource.attribute.labels.key`	La stringa "objectType" è assegnata alla chiave.
`objectType`	`target.resource.attribute.labels.value`	Il valore di objectType del log non elaborato viene assegnato al valore.
`objectType`	`additional.fields.key`	La stringa "objectType" è assegnata alla chiave.
`objectType`	`additional.fields.value.string_value`	Il valore di objectType del log non elaborato viene assegnato al valore.
`objectType`	`security_result.description`	Se objectType è "LAUNCH" e success non è "true", la descrizione è "application launch attempt was successful". Se objectType è "LAUNCH_ERROR" e success non è "true", la descrizione è "User launched an application with an invalid request".
`opID`	`about.resource.attribute.labels.key`	La stringa "opId" è assegnata alla chiave.
`opID`	`about.resource.attribute.labels.value`	Al valore viene assegnato il valore di opID del log non elaborato.
`pool`	`additional.fields.key`	La stringa "pool" è assegnata alla chiave.
`pool`	`additional.fields.value.string_value`	Il valore del pool del log non elaborato viene assegnato al valore.
`pool_name`	`additional.fields.key`	La stringa "pool_name" è assegnata alla chiave.
`pool_name`	`additional.fields.value.string_value`	Il valore di pool_name del log non elaborato viene assegnato al valore.
`protocol`	`network.ip_protocol`	Il valore del protocollo del log non elaborato viene convertito in maiuscolo e mappato al campo UDM. Se il valore è "PROTO", non viene mappato.
`protocol`	`additional.fields.key`	Se il valore del protocollo è "PROTO", alla chiave viene assegnata la stringa "ip_protocol".
`protocol`	`additional.fields.value.string_value`	Se il valore del protocollo è "PROTO", al valore viene assegnato il valore del protocollo del log non elaborato.
`query_data`	`network.dns.questions.name`	Il campo query_data viene analizzato per estrarre question_name, che viene poi mappato al campo UDM.
`query_data`	`network.dns.questions.type`	Il campo query_data viene analizzato per estrarre query_type, che viene poi mappato al campo UDM utilizzando una ricerca inclusa in "dns_record_type.include".
`query_data`	`network.dns.questions.class`	Il campo query_data viene analizzato per estrarre dns_class, che viene poi mappato al campo UDM utilizzando una ricerca inclusa in "dns_query_class_mapping.include".
`referer`	`principal.url`	Il valore del referrer del log non elaborato viene mappato al campo UDM.
`request_content_type`	`additional.fields.key`	La stringa "request_content_type" è assegnata alla chiave.
`request_content_type`	`additional.fields.value.string_value`	Il valore di request_content_type del log non elaborato viene assegnato al valore.
`request_state`	`additional.fields.key`	La stringa "request_state" è assegnata alla chiave.
`request_state`	`additional.fields.value.string_value`	Il valore di request_state del log non elaborato viene assegnato al valore.
`response_code`	`network.http.response_code`	Il valore di response_code o server_response_code del log non elaborato viene mappato al campo UDM.
`response_content_type`	`additional.fields.key`	La stringa "request_content_type" è assegnata alla chiave.
`response_content_type`	`additional.fields.value.string_value`	Il valore di response_content_type del log non elaborato viene assegnato al valore.
`rule_id`	`security_result.rule_id`	Il valore di rule_id del log non elaborato viene mappato al campo UDM.
`s2comp`	`about.resource.attribute.labels.key`	La stringa "S2-Component" è assegnata alla chiave.
`s2comp`	`about.resource.attribute.labels.value`	Il valore di s2comp del log non elaborato viene assegnato al valore.
`server_ip`	`target.ip`	Il valore di server_ip del log non elaborato viene mappato al campo UDM.
`server_name`	`target.hostname`	Il valore di server_name del log non elaborato viene mappato al campo UDM.
`server_response_code`	`network.http.response_code`	Vedi la logica per response_code.
`server_src_port`	`target.port`	Il valore di server_src_port del log non elaborato viene mappato al campo UDM.
`service_engine`	`additional.fields.key`	La stringa "service_engine" è assegnata alla chiave.
`service_engine`	`additional.fields.value.string_value`	Il valore di service_engine del log non elaborato viene assegnato al valore.
`sourceIp`	`principal.ip`	Il valore di sourceIp del log non elaborato viene mappato al campo UDM.
`ssl_cipher`	`network.tls.cipher`	Il valore di ssl_cipher del log non elaborato viene mappato al campo UDM.
`ssl_session_id`	`network.session_id`	Il valore di ssl_session_id del log non elaborato viene mappato al campo UDM.
`ssl_version`	`network.tls.version_protocol`	Il valore di ssl_version del log non elaborato viene mappato al campo UDM.
`sub`	`about.resource.attribute.labels.key`	La stringa "Sub Component" è assegnata al tasto.
`sub`	`about.resource.attribute.labels.value`	Il valore di sub del log non elaborato viene assegnato al valore.
`subClusterUuid`	`additional.fields.key`	La stringa "subClusterUuid" è assegnata alla chiave.
`subClusterUuid`	`additional.fields.value.string_value`	Il valore di subClusterUuid del log non elaborato viene assegnato al valore.
`sub_msg`	`Various fields within principal, target, network, security_result, and about`	Il campo sub_msg viene analizzato in modo diverso in base a msg_type. Può essere analizzato come JSON, utilizzando pattern grok o coppie chiave-valore. I campi estratti vengono poi mappati a vari campi UDM in base ai loro nomi e alla logica del parser. Sono inclusi campi come ip_type, action, rule_id, direction, protocol, tcp_flag, src_ip, src_port, dst_ip, dst_port, data, msg e altri.
`subcomp`	`about.resource.attribute.labels.key`	La stringa "Sub Component" è assegnata al tasto.
`subcomp`	`about.resource.attribute.labels.value`	Il valore di subcomp del log non elaborato viene assegnato al valore.
`tenantId`	`principal.resource.attribute.labels.key`	La stringa "tenantId" è assegnata alla chiave.
`tenantId`	`principal.resource.attribute.labels.value`	Al valore viene assegnato il valore di tenantId del log non elaborato.
`tenantId`	`additional.fields.key`	La stringa "tenantId" è assegnata alla chiave.
`tenantId`	`additional.fields.value.string_value`	Al valore viene assegnato il valore di tenantId del log non elaborato.
`ts`	`metadata.event_timestamp`	Il valore di ts del log non elaborato viene analizzato come timestamp e mappato al campo UDM.
`ts`	`timestamp`	Il valore di ts del log non elaborato viene analizzato come timestamp e mappato al campo UDM.
`updateType`	`additional.fields.key`	La stringa "updateType" è assegnata alla chiave.
`updateType`	`additional.fields.value.string_value`	Il valore di updateType del log non elaborato viene assegnato al valore.
`uri_path`	`network.http.referral_url`	Il valore di uri_path del log non elaborato viene mappato al campo UDM.
`user_agent`	`network.http.user_agent`	Il valore di user_agent del log non elaborato viene mappato al campo UDM.
`user_agent`	`network.http.parsed_user_agent`	Il valore di user_agent del log non elaborato viene analizzato come stringa user agent e mappato al campo UDM.
`USER`	`principal.user.user_display_name`	Il valore di USER del log non elaborato viene mappato al campo UDM.
`values.actorExternalId`	`principal.resource.attribute.labels.key`	La stringa "actorExternalId" è assegnata alla chiave.
`values.actorExternalId`	`principal.resource.attribute.labels.value`	Il valore di values.actorExternalId del log non elaborato viene assegnato al valore.
`values.actorExternalId`	`additional.fields.key`	La stringa "actorExternalId" è assegnata alla chiave.
`values.actorExternalId`	`additional.fields.value.string_value`	Il valore di values.actorExternalId del log non elaborato viene assegnato al valore.
`values.deviceType`	`principal.resource.attribute.labels.key`	La stringa "deviceType" è assegnata alla chiave.
`values.deviceType`	`principal.resource.attribute.labels.value`	Il valore di values.deviceType del log non elaborato viene assegnato a value.
`values.deviceType`	`additional.fields.key`	La stringa "deviceType" è assegnata alla chiave.
`values.deviceType`	`additional.fields.value.string_value`	Il valore di values.deviceType del log non elaborato viene assegnato a value.
`values.resourceType`	`principal.resource.resource_subtype`	Il valore di values.resourceType del log non elaborato viene mappato al campo UDM. principal.resource.type è impostato su "VIRTUAL_MACHINE".
`values.success`	`security_result.action`	Se il valore è "true" (senza distinzione tra maiuscole e minuscole), viene mappato su "ALLOW". Se è "false" (senza distinzione tra maiuscole e minuscole), viene mappato su "BLOCK".
`virtualservice`	`additional.fields.key`	La stringa "virtualservice" è assegnata alla chiave.
`virtualservice`	`additional.fields.value.string_value"	Il valore di virtualservice del log non elaborato viene assegnato al valore.
`vmw_vr_ops_appname`	`about.resource.attribute.labels.key`	La stringa "Ops AppName" è assegnata alla chiave.
`vmw_vr_ops_appname`	`about.resource.attribute.labels.value`	Il valore di vmw_vr_ops_appname del log non elaborato viene assegnato al valore.
`vmw_vr_ops_clustername`	`about.resource.attribute.labels.key`	La stringa "Ops ClusterName" è assegnata alla chiave.
`vmw_vr_ops_clustername`	`about.resource.attribute.labels.value`	Il valore di vmw_vr_ops_clustername del log non elaborato viene assegnato al valore.
`vmw_vr_ops_logtype`	`about.resource.attribute.labels.key`	La stringa "Ops Logtype" è assegnata alla chiave.
`vmw_vr_ops_logtype"	`about.resource.attribute.labels.value`	Il valore di vmw_vr_ops_logtype del log non elaborato viene assegnato al valore.
`vmw_vr_ops_nodename`	`about.resource.attribute.labels.key`	La stringa "Ops NodeName" è assegnata alla chiave.
`vmw_vr_ops_nodename`	`about.resource.attribute.labels.value`	Il valore di vmw_vr_ops_nodename del log non elaborato viene assegnato al valore.
`vs_name`	`additional.fields.key`	La stringa "vs_name" è assegnata alla chiave.
`vs_name`	`additional.fields.value.string_value`	Il valore di vs_name del log non elaborato viene assegnato al valore.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.