Mengumpulkan log audit Workday

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log audit Workday ke Google Security Operations menggunakan Google Cloud Storage. Parser pertama-tama mengidentifikasi jenis peristiwa tertentu dari log berdasarkan analisis pola data JSON. Kemudian, alat ini mengekstrak dan menyusun kolom yang relevan sesuai dengan jenis yang diidentifikasi, memetakannya ke model data terpadu (UDM) untuk analisis keamanan yang konsisten.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat fungsi Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke Workday

Membuat bucket Google Cloud Storage

Buka Google Cloud Console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `workday-audit-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Membuat Integration System User (ISU) Workday

Di Workday, cari Create Integration System User > OK.
Isi User Name (misalnya, audit_gcs_user).
Klik Oke.
Setel ulang sandi dengan membuka Tindakan Terkait > Keamanan > Setel Ulang Sandi.
Pilih Pertahankan Aturan Sandi untuk mencegah masa berlaku sandi berakhir.
Cari Create Security Group > Integration System Security Group (Unconstrained).
Berikan nama (misalnya, ISU_Audit_GCS) dan tambahkan ISU ke Integration System Users.
Cari Kebijakan Keamanan Domain untuk Area Fungsional > Sistem.
Untuk Audit Trail, pilih Tindakan > Edit Izin.
Di bagian Get Only, tambahkan grup ISU_Audit_GCS.
Klik OK > Aktifkan Perubahan Kebijakan Keamanan yang Tertunda.

Mengonfigurasi Laporan Kustom Workday

Di Workday, telusuri Create Custom Report.
Berikan detail konfigurasi berikut:
- Nama: Masukkan nama unik (misalnya, Audit_Trail_BP_JSON).
- Jenis: Pilih Lanjutan.
- Sumber Data: Pilih Audit Trail – Business Process.
Klik Oke.
Opsional: Tambahkan filter pada Jenis Proses Bisnis atau Tanggal Berlaku.
Buka tab Output.
Pilih Aktifkan sebagai Layanan Web, Dioptimalkan untuk Performa, lalu pilih Format JSON.
Klik OK > Selesai.
Buka laporan dan klik Bagikan > tambahkan ISU_Audit_GCS dengan izin Lihat > OK.
Buka Related Actions > Web Service > View URLs.
Salin URL JSON.

Catatan: Format URL akan khusus untuk tenant dan wilayah Workday Anda. Nama host akan bervariasi berdasarkan lingkungan Anda (misalnya, wd2-impl-services1.workday.com, wd3-services1.workday.com). Gunakan URL persis yang diberikan oleh Workday. Contoh format: https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan workday-audit-collector-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Workday audit logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Selesai.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan workday-audit-trigger.
- Biarkan setelan lainnya tetap default.
Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Workday API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan workday-audit-collector

Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik workday-audit-trigger.
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub secara otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan workday-audit-collector-sa.

Setelan	Nilai
Nama layanan	`workday-audit-collector`
Wilayah	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Buka tab Containers:

Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:

Nama Variabel	Nilai Contoh
`GCS_BUCKET`	`workday-audit-logs`
`WD_USER`	`audit_gcs_user`
`WD_PASS`	`your-workday-password`
`WD_URL`	`https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json`

Scroll ke bawah di tab Variables & Secrets ke Requests:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit).
Buka tab Setelan di Penampung:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
- Klik Selesai.
Scroll ke Lingkungan eksekusi:
- Pilih Default (direkomendasikan).
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

Masukkan main di Function entry point

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import gzip
import io
import uuid

# Initialize HTTP client
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    wd_user = os.environ.get('WD_USER')
    wd_pass = os.environ.get('WD_PASS')
    wd_url = os.environ.get('WD_URL')

    if not all([bucket_name, wd_user, wd_pass, wd_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        print(f'Fetching Workday audit report from {wd_url}')

        # Fetch report from Workday
        data = fetch_report(wd_url, wd_user, wd_pass)

        # Upload to GCS
        timestamp = datetime.now(timezone.utc)
        upload(bucket, data, timestamp)

        print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def fetch_report(url, username, password):
    """Fetch report from Workday using Basic Auth."""
    credentials = f"{username}:{password}"
    credentials_bytes = credentials.encode('utf-8')
    auth_header = b"Basic " + base64.b64encode(credentials_bytes)

    req_headers = {
        "Authorization": auth_header.decode('utf-8')
    }

    response = http.request('GET', url, headers=req_headers)

    if response.status != 200:
        raise Exception(f"Failed to fetch report: HTTP {response.status}")

    return response.data

def upload(bucket, payload, ts):
    """Upload gzipped JSON to GCS."""
    key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        gz.write(payload)
    buf.seek(0)

    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{key}')

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Catatan: Konfigurasi pemicu Pub/Sub akan otomatis membuat langganan dan izin yang diperlukan.

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`workday-audit-collector-daily`
Wilayah	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`20 2 * * *` (dijalankan setiap hari pada 02.20 UTC)
Zona waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik `workday-audit-trigger`
Isi pesan	`{}` (objek JSON kosong)

Klik Buat.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`20 2 * * *`	Pengumpulan data historis (direkomendasikan)

Menguji tugas penjadwal

Di konsol Cloud Scheduler, temukan tugas Anda.
Klik Jalankan paksa untuk memicu secara manual.
Tunggu beberapa detik, lalu buka Cloud Run > Services > workday-audit-collector > Logs.
Pastikan fungsi berhasil dieksekusi.
Periksa bucket GCS untuk mengonfirmasi bahwa log telah ditulis.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Workday Audit Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Audit Workday sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Mengonfigurasi feed di Google SecOps untuk menyerap log Audit Workday

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Workday Audit Logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Audit Workday sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://workday-audit-logs/
```
  - Ganti workday-audit-logs dengan nama bucket GCS Anda yang sebenarnya.
  Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
  Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
Akun	metadata.event_type	Jika kolom "Akun" tidak kosong, kolom "metadata.event_type" disetel ke "USER_RESOURCE_UPDATE_CONTENT".
Akun	principal.user.primaryId	ID pengguna diekstrak dari kolom "Account" menggunakan pola grok dan dipetakan ke principal.user.primaryId.
Akun	principal.user.primaryName	Nama tampilan pengguna diekstrak dari kolom "Akun" menggunakan pola grok dan dipetakan ke "principal.user.primaryName".
ActivityCategory	metadata.event_type	Jika kolom "ActivityCategory" adalah "READ", kolom "metadata.event_type" ditetapkan ke "RESOURCE_READ". Jika "WRITE", status ditetapkan ke "RESOURCE_WRITTEN".
ActivityCategory	metadata.product_event_type	Dipetakan langsung dari kolom "ActivityCategory".
AffectedGroups	target.user.group_identifiers	Dipetakan langsung dari kolom "AffectedGroups".
Area	target.resource.attribute.labels.area.value	Dipetakan langsung dari kolom "Area".
AuthType	extensions.auth.auth_details	Dipetakan langsung dari kolom "AuthType".
AuthType	extensions.auth.type	Dipetakan dari kolom "AuthType" ke berbagai jenis autentikasi yang ditentukan dalam UDM berdasarkan nilai tertentu.
CFIPdeConexion	src.domain.name	Jika kolom "CFIPdeConexion" bukan alamat IP yang valid, kolom tersebut dipetakan ke "src.domain.name".
CFIPdeConexion	target.ip	Jika kolom "CFIPdeConexion" adalah alamat IP yang valid, kolom tersebut dipetakan ke "target.ip".
ChangedRelationship	metadata.description	Dipetakan langsung dari kolom "ChangedRelationship".
ClassOfInstance	target.resource.attribute.labels.class_instance.value	Dipetakan langsung dari kolom "ClassOfInstance".
column18	about.labels.utub.value	Dipetakan langsung dari kolom "column18".
CreatedBy	principal.user.userid	ID pengguna diekstrak dari kolom "CreatedBy" menggunakan pola grok dan dipetakan ke "principal.user.userid".
CreatedBy	principal.user.user_display_name	Nama tampilan pengguna diekstrak dari kolom "CreatedBy" menggunakan pola grok dan dipetakan ke "principal.user.user_display_name".
Domain	about.domain.name	Dipetakan langsung dari kolom "Domain".
EffectiveDate	@timestamp	Diuraikan ke "@timestamp" setelah dikonversi ke format "yyyy-MM-dd HH:mm:ss.SSSZ".
EntryMoment	@timestamp	Diuraikan ke "@timestamp" setelah dikonversi ke format "ISO8601".
EventType	security_result.description	Dipetakan langsung dari kolom "EventType".
Formulir	target.resource.name	Dipetakan langsung dari kolom "Formulir".
InstancesAdded	about.resource.attribute.labels.instances_added.value	Dipetakan langsung dari kolom "InstancesAdded".
InstancesAdded	target.user.attribute.roles.instances_added.name	Dipetakan langsung dari kolom "InstancesAdded".
InstancesRemoved	about.resource.attribute.labels.instances_removed.value	Dipetakan langsung dari kolom "InstancesRemoved".
InstancesRemoved	target.user.attribute.roles.instances_removed.name	Dipetakan langsung dari kolom "InstancesRemoved".
IntegrationEvent	target.resource.attribute.labels.integration_event.value	Dipetakan langsung dari kolom "IntegrationEvent".
IntegrationStatus	security_result.action_details	Dipetakan langsung dari kolom "IntegrationStatus".
IntegrationSystem	target.resource.name	Dipetakan langsung dari kolom "IntegrationSystem".
IP	src.domain.name	Jika kolom "IP" bukan alamat IP yang valid, kolom tersebut dipetakan ke "src.domain.name".
IP	src.ip	Jika kolom "IP" adalah alamat IP yang valid, kolom tersebut dipetakan ke "src.ip".
IsDeviceManaged	additional.fields.additional1.value.string_value	Jika kolom "IsDeviceManaged" adalah "N", nilainya ditetapkan ke "Successful". Jika tidak, nilai ini akan ditetapkan ke "Terjadi upaya login yang gagal".
IsDeviceManaged	additional.fields.additional2.value.string_value	Jika kolom "IsDeviceManaged" adalah "N", nilainya ditetapkan ke "Successful". Jika tidak, nilai ini akan ditetapkan ke "Kredensial Tidak Valid".
IsDeviceManaged	additional.fields.additional3.value.string_value	Jika kolom "IsDeviceManaged" adalah "N", nilainya ditetapkan ke "Successful". Jika tidak, statusnya akan ditetapkan ke "Akun Terkunci".
IsDeviceManaged	security_result.action_details	Dipetakan langsung dari kolom "IsDeviceManaged".
OutputFiles	about.file.full_path	Dipetakan langsung dari kolom "OutputFiles".
Orang	principal.user.primaryId	Jika kolom "Person" diawali dengan "INT", userid diekstrak menggunakan pola grok dan dipetakan ke "principal.user.primaryId".
Orang	principal.user.primaryName	Jika kolom "Person" dimulai dengan "INT", nama tampilan pengguna akan diekstrak menggunakan pola grok dan dipetakan ke "principal.user.primaryName".
Orang	principal.user.user_display_name	Jika kolom "Person" tidak diawali dengan "INT", kolom tersebut dipetakan langsung ke "principal.user.user_display_name".
Orang	metadata.event_type	Jika kolom "Person" tidak kosong, kolom "metadata.event_type" disetel ke "USER_RESOURCE_UPDATE_CONTENT".
ProcessedTransaction	target.resource.attribute.creation_time	Diuraikan ke "target.resource.attribute.creation_time" setelah dikonversi ke format "dd/MM/yyyy HH:mm:ss,SSS (ZZZ)", "dd/MM/yyyy, HH:mm:ss,SSS (ZZZ)", atau "MM/dd/yyyy, HH:mm:ss.SSS A ZZZ".
ProgramBy	principal.user.userid	Dipetakan langsung dari kolom "ProgramBy".
RecurrenceEndDate	principal.resource.attribute.last_update_time	Diuraikan ke "principal.resource.attribute.last_update_time" setelah dikonversi ke format "yyyy-MM-dd".
RecurrenceStartDate	principal.resource.attribute.creation_time	Diuraikan ke "principal.resource.attribute.creation_time" setelah dikonversi ke format "yyyy-MM-dd".
RequestName	metadata.description	Dipetakan langsung dari kolom "RequestName".
ResponseMessage	security_result.summary	Dipetakan langsung dari kolom "ResponseMessage".
RestrictedToEnvironment	security_result.about.hostname	Dipetakan langsung dari kolom "RestrictedToEnvironment".
RevokedSecurity	security_result.outcomes.outcomes.value	Dipetakan langsung dari kolom "RevokedSecurity".
RunFrequency	principal.resource.attribute.labels.run_frequency.value	Dipetakan langsung dari kolom "RunFrequency".
ScheduledProcess	principal.resource.name	Dipetakan langsung dari kolom "ScheduledProcess".
SecuredTaskExecuted	target.resource.name	Dipetakan langsung dari kolom "SecuredTaskExecuted".
SecureTaskExecuted	metadata.event_type	Jika kolom "SecureTaskExecuted" berisi "Create", kolom "metadata.event_type" ditetapkan ke "USER_RESOURCE_CREATION".
SecureTaskExecuted	target.resource.name	Dipetakan langsung dari kolom "SecureTaskExecuted".
SentTime	@timestamp	Diuraikan ke "@timestamp" setelah dikonversi ke format "ISO8601".
SessionId	network.session_id	Dipetakan langsung dari kolom "SessionId".
ShareBy	target.user.userid	Dipetakan langsung dari kolom "ShareBy".
SignOffTime	additional.fields.additional4.value.string_value	Nilai kolom "AuthFailMessage" ditempatkan dalam array "additional.fields" dengan kunci "Enterprise Interface Builder".
SignOffTime	metadata.description	Dipetakan langsung dari kolom "AuthFailMessage".
SignOffTime	metadata.event_type	Jika kolom "SignOffTime" kosong, kolom "metadata.event_type" ditetapkan ke "USER_LOGIN". Jika tidak, nilai ini akan ditetapkan ke "USER_LOGOUT".
SignOffTime	principal.user.attribute.last_update_time	Diuraikan ke "principal.user.attribute.last_update_time" setelah dikonversi ke format "ISO8601".
SignOnIp	src.domain.name	Jika kolom "SignOnIp" bukan alamat IP yang valid, kolom tersebut dipetakan ke "src.domain.name".
SignOnIp	src.ip	Jika kolom "SignOnIp" adalah alamat IP yang valid, kolom tersebut dipetakan ke "src.ip".
Status	metadata.product_event_type	Dipetakan langsung dari kolom "Status".
SystemAccount	principal.user.email_addresses	Alamat email diekstrak dari kolom "SystemAccount" menggunakan pola grok dan dipetakan ke "principal.user.email_addresses".
SystemAccount	principal.user.primaryId	ID pengguna diekstrak dari kolom "SystemAccount" menggunakan pola grok dan dipetakan ke "principal.user.primaryId".
SystemAccount	principal.user.primaryName	Nama tampilan pengguna diekstrak dari kolom "SystemAccount" menggunakan pola grok dan dipetakan ke "principal.user.primaryName".
SystemAccount	src.user.userid	ID pengguna sekunder diekstrak dari kolom "SystemAccount" menggunakan pola grok dan dipetakan ke "src.user.userid".
SystemAccount	src.user.user_display_name	Nama tampilan pengguna sekunder diekstrak dari kolom "SystemAccount" menggunakan pola grok dan dipetakan ke "src.user.user_display_name".
SystemAccount	target.user.userid	ID pengguna target diekstrak dari kolom "SystemAccount" menggunakan pola grok dan dipetakan ke "target.user.userid".
Target	target.user.user_display_name	Dipetakan langsung dari kolom "Target".
Template	about.resource.name	Dipetakan langsung dari kolom "Template".
Tenant	target.asset.hostname	Dipetakan langsung dari kolom "Tenant".
TlsVersion	network.tls.version	Dipetakan langsung dari kolom "TlsVersion".
Transaksi	security_result.action_details	Dipetakan langsung dari kolom "Transaksi".
TransactionType	security_result.summary	Dipetakan langsung dari kolom "TransactionType".
TypeForm	target.resource.resource_subtype	Dipetakan langsung dari kolom "TypeForm".
UserAgent	network.http.parsed_user_agent	Diuraikan dari kolom "UserAgent" menggunakan filter "useragent".
UserAgent	network.http.user_agent	Dipetakan langsung dari kolom "UserAgent".
WorkdayAccount	target.user.user_display_name	Nama tampilan pengguna diekstrak dari kolom "WorkdayAccount" menggunakan pola grok dan dipetakan ke "target.user.user_display_name".
WorkdayAccount	target.user.userid	ID pengguna diekstrak dari kolom "WorkdayAccount" menggunakan pola grok dan dipetakan ke "target.user.userid".
additional.fields.additional1.key	Ditetapkan ke "FailedSignOn".
additional.fields.additional2.key	Tetapkan ke "InvalidCredentials".
additional.fields.additional3.key	Ditetapkan ke "AccountLocked".
additional.fields.additional4.key	Tetapkan ke "Enterprise Interface Builder".
metadata.event_type	Awalnya disetel ke "GENERIC_EVENT", lalu diperbarui berdasarkan logika yang melibatkan kolom lain.
metadata.event_type	Disetel ke "USER_CHANGE_PERMISSIONS" untuk jenis peristiwa tertentu.
metadata.event_type	Disetel ke "RESOURCE_WRITTEN" untuk jenis peristiwa tertentu.
metadata.log_type	Dikodekan secara permanen ke "WORKDAY_AUDIT".
metadata.product_name	Dikodekan secara permanen ke "Enterprise Interface Builder".
metadata.vendor_name	Dikodekan secara permanen ke "Workday".
principal.asset.category	Ditetapkan ke "Ponsel" jika kolom "DeviceType" adalah "Ponsel".
principal.resource.resource_type	Dikodekan secara permanen ke "TASK" jika kolom "ScheduledProcess" tidak kosong.
security_result.action	Ditetapkan ke "ALLOW" atau "FAIL" berdasarkan nilai kolom "FailedSignOn", "IsDeviceManaged", "InvalidCredentials", dan "AccountLocked".
security_result.summary	Disetel ke "Berhasil" atau pesan error tertentu berdasarkan nilai kolom "FailedSignOn", "IsDeviceManaged", "InvalidCredentials", dan "AccountLocked".
target.resource.resource_type	Dikodekan secara permanen ke "TASK" untuk jenis peristiwa tertentu.
target.resource.resource_type	Dikodekan secara permanen ke "DATASET" jika kolom "TypeForm" tidak kosong.
pesan	principal.user.email_addresses	Mengekstrak alamat email dari kolom "message" menggunakan pola grok dan menggabungkannya ke "principal.user.email_addresses" jika pola tertentu cocok.
pesan	src.user.userid	Menghapus kolom jika kolom "event.idm.read_only_udm.principal.user.userid" cocok dengan "user_target" yang diekstrak dari kolom "message".
pesan	src.user.user_display_name	Menghapus kolom jika kolom "event.idm.read_only_udm.principal.user.userid" cocok dengan "user_target" yang diekstrak dari kolom "message".
pesan	target.user.userid	Mengekstrak userid dari kolom "message" menggunakan pola grok dan memetakannya ke "target.user.userid" jika pola tertentu cocok.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.