收集 Workday 审核日志

本文档介绍了如何使用 Google Cloud Storage 将 Workday 审核日志提取到 Google Security Operations。解析器首先根据 JSON 数据的模式分析，从日志中识别出具体的事件类型。然后，它会根据识别出的类型提取相关字段并对其进行结构化处理，将其映射到统一数据模型 (UDM)，以便进行一致的安全分析。

准备工作

确保您满足以下前提条件：

• Google SecOps 实例
• 已启用 Cloud Storage API 的 GCP 项目
• 创建和管理 GCS 存储分区的权限
• 管理 GCS 存储分区的 IAM 政策的权限
• 创建 Cloud Run 函数、Pub/Sub 主题和 Cloud Scheduler 作业的权限
• 对 Workday 的特权访问权限

创建 Google Cloud Storage 存储分区

1. 前往 Google Cloud 控制台。
2. 选择您的项目或创建新项目。
3. 在导航菜单中，依次前往 Cloud Storage > 存储分区。
4. 点击创建存储分区。

5. 提供以下配置详细信息：

   设置	值
   为存储分区命名	输入一个全局唯一的名称（例如 workday-audit-logs）
   位置类型	根据您的需求进行选择（区域级、双区域级、多区域级）
   位置	选择相应位置（例如 us-central1）
   存储类别	标准（建议用于经常访问的日志）
   访问权限控制	统一（推荐）
   保护工具	可选：启用对象版本控制或保留政策

6. 点击创建。

创建 Workday 集成系统用户 (ISU)

1. 在 Workday 中，搜索 Create Integration System User > OK。
2. 填写用户名（例如，audit_gcs_user）。
3. 点击确定。
4. 依次前往相关操作 > 安全性 > 重置密码，重置密码。
5. 选择保留密码规则，以防止密码过期。
6. 搜索创建安全群组 > 集成系统安全群组（不受约束）。
7. 提供名称（例如 ISU_Audit_GCS），并将 ISU 添加到集成系统用户。
8. 搜索功能区域的网域安全政策 > 系统。
9. 对于审核轨迹，请依次选择操作 > 编辑权限。
10. 在 Get Only 下，添加 ISU_Audit_GCS 群组。
11. 依次点击确定> 激活待处理的安全政策更改。

配置 Workday 自定义报告

1. 在 Workday 中，搜索 Create Custom Report。
2. 提供以下配置详细信息：
   • 名称：输入一个唯一名称（例如 Audit_Trail_BP_JSON）。
   • 类型：选择高级。
   • 数据源：选择审核轨迹 - 业务流程。
3. 点击确定。
4. 可选：添加业务流程类型或生效日期方面的过滤条件。
5. 前往输出标签页。
6. 依次选择启用为 Web 服务、针对性能进行优化和 JSON 格式。
7. 依次点击确定> 完成。
8. 打开报告，然后依次点击共享> 添加具有查看权限的 ISU_Audit_GCS > 确定。
9. 依次前往相关操作 > Web 服务 > 查看网址。

10. 复制 JSON 网址。

为 Cloud Run 函数创建服务账号

Cloud Run 函数需要一个服务账号，该账号具有向 GCS 存储分区写入内容以及被 Pub/Sub 调用的权限。

创建服务账号

1. 在 GCP 控制台中，依次前往 IAM 和管理 > 服务账号。
2. 点击创建服务账号。
3. 提供以下配置详细信息：
   • 服务账号名称：输入 workday-audit-collector-sa。
   • 服务账号说明：输入 Service account for Cloud Run function to collect Workday audit logs。
4. 点击创建并继续。
5. 在向此服务账号授予对项目的访问权限部分中，添加以下角色：
   1. 点击选择角色。
   2. 搜索并选择 Storage Object Admin。
   3. 点击 + 添加其他角色。
   4. 搜索并选择 Cloud Run Invoker。
   5. 点击 + 添加其他角色。
   6. 搜索并选择 Cloud Functions Invoker。
6. 点击继续。
7. 点击完成。

必须拥有这些角色，才能：

• Storage Object Admin：将日志写入 GCS 存储分区
• Cloud Run Invoker：允许 Pub/Sub 调用函数
• Cloud Functions Invoker：允许调用函数

授予对 GCS 存储分区的 IAM 权限

向服务账号授予对 GCS 存储分区的写入权限：

1. 前往 Cloud Storage > 存储分区。
2. 点击您的存储分区名称。
3. 前往权限标签页。
4. 点击授予访问权限。
5. 提供以下配置详细信息：
   • 添加主账号：输入服务账号电子邮件地址（例如 workday-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com）。
   • 分配角色：选择 Storage Object Admin。
6. 点击保存。

创建发布/订阅主题

创建一个 Pub/Sub 主题，供 Cloud Scheduler 发布消息，并供 Cloud Run 函数订阅。

1. 在 GCP 控制台中，前往 Pub/Sub > 主题。
2. 点击创建主题。
3. 提供以下配置详细信息：
   • 主题 ID：输入 workday-audit-trigger。
   • 将其他设置保留为默认值。
4. 点击创建。

创建 Cloud Run 函数以收集日志

Cloud Run 函数由来自 Cloud Scheduler 的 Pub/Sub 消息触发，用于从 Workday API 中提取日志并将其写入 GCS。

1. 在 GCP 控制台中，前往 Cloud Run。
2. 点击创建服务。
3. 选择函数（使用内嵌编辑器创建函数）。

4. 在配置部分中，提供以下配置详细信息：

   设置	值
   Service 名称	workday-audit-collector
   区域	选择与您的 GCS 存储分区匹配的区域（例如 us-central1）
   运行时	选择 Python 3.12 或更高版本

5. 在触发器（可选）部分中：

   1. 点击 + 添加触发器。
   2. 选择 Cloud Pub/Sub。
   3. 在选择 Cloud Pub/Sub 主题部分，选择主题 workday-audit-trigger。
   4. 点击保存。

6. 在身份验证部分中：

   1. 选择需要进行身份验证。
   2. 检查 Identity and Access Management (IAM)。

7. 向下滚动并展开容器、网络、安全性。

8. 前往安全标签页：

   • 服务账号：选择服务账号 workday-audit-collector-sa。

9. 前往容器标签页：

   1. 点击变量和密钥。
   2. 为每个环境变量点击 + 添加变量：

   变量名称	示例值
   GCS_BUCKET	workday-audit-logs
   WD_USER	audit_gcs_user
   WD_PASS	your-workday-password
   WD_URL	https://wd-servicesN.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json

10. 在变量和密钥标签页中，向下滚动到请求：

    • 请求超时：输入 600 秒（10 分钟）。

11. 前往容器中的设置标签页：

    • 在资源部分中：
      • 内存：选择 512 MiB 或更高值。
      • CPU：选择 1。
    • 点击完成。

12. 滚动到执行环境：

    • 选择默认（推荐）。

13. 在修订版本扩缩部分中：

    • 实例数下限：输入 0。
    • 实例数上限：输入 100（或根据预期负载进行调整）。

14. 点击创建。

15. 等待服务创建完成（1-2 分钟）。

16. 创建服务后，系统会自动打开内嵌代码编辑器。

添加函数代码

1. 在函数入口点中输入 main

2. 在内嵌代码编辑器中，创建两个文件：

   • 第一个文件：main.py:：

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone
   import base64
   import gzip
   import io
   import uuid
   
   # Initialize HTTP client
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch logs from Workday API and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       # Get environment variables
       bucket_name = os.environ.get('GCS_BUCKET')
       wd_user = os.environ.get('WD_USER')
       wd_pass = os.environ.get('WD_PASS')
       wd_url = os.environ.get('WD_URL')
   
       if not all([bucket_name, wd_user, wd_pass, wd_url]):
           print('Error: Missing required environment variables')
           return
   
       try:
           # Get GCS bucket
           bucket = storage_client.bucket(bucket_name)
   
           print(f'Fetching Workday audit report from {wd_url}')
   
           # Fetch report from Workday
           data = fetch_report(wd_url, wd_user, wd_pass)
   
           # Upload to GCS
           timestamp = datetime.now(timezone.utc)
           upload(bucket, data, timestamp)
   
           print(f'Successfully uploaded Workday audit report ({len(data)} bytes raw)')
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   def fetch_report(url, username, password):
       """Fetch report from Workday using Basic Auth."""
       credentials = f"{username}:{password}"
       credentials_bytes = credentials.encode('utf-8')
       auth_header = b"Basic " + base64.b64encode(credentials_bytes)
   
       req_headers = {
           "Authorization": auth_header.decode('utf-8')
       }
   
       response = http.request('GET', url, headers=req_headers)
   
       if response.status != 200:
           raise Exception(f"Failed to fetch report: HTTP {response.status}")
   
       return response.data
   
   def upload(bucket, payload, ts):
       """Upload gzipped JSON to GCS."""
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
   
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode='w') as gz:
           gz.write(payload)
       buf.seek(0)
   
       blob = bucket.blob(key)
       blob.upload_from_file(buf, content_type='application/gzip')
   
       print(f'Uploaded to gs://{bucket.name}/{key}')
   

   • 第二个文件：requirements.txt:：

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. 点击部署以保存并部署该函数。

4. 等待部署完成（2-3 分钟）。

创建 Cloud Scheduler 作业

Cloud Scheduler 会定期向 Pub/Sub 主题发布消息，从而触发 Cloud Run 函数。

1. 在 GCP Console 中，前往 Cloud Scheduler。
2. 点击创建作业。

3. 提供以下配置详细信息：

   设置	值
   名称	workday-audit-collector-daily
   区域	选择与 Cloud Run 函数相同的区域
   频率	20 2 * * *（每天在世界协调时间 [UTC] 02:20 运行）
   时区	选择时区（建议选择世界协调时间 [UTC]）
   目标类型	Pub/Sub
   主题	选择主题 workday-audit-trigger
   消息正文	{}（空 JSON 对象）

4. 点击创建。

时间表频率选项

• 根据日志量和延迟时间要求选择频次：

  频率	Cron 表达式	使用场景
  每隔 5 分钟	*/5 * * * *	高容量、低延迟
  每隔 15 分钟	*/15 * * * *	搜索量中等
  每小时	0 * * * *	标准
  每 6 小时	0 */6 * * *	量小、批处理
  每天	20 2 * * *	历史数据收集（推荐）

测试调度器作业

1. 在 Cloud Scheduler 控制台中，找到您的作业。
2. 点击强制运行以手动触发。
3. 等待几秒钟，然后前往 Cloud Run > 服务 > workday-audit-collector > 日志。
4. 验证函数是否已成功执行。
5. 检查 GCS 存储分区，确认日志已写入。

检索 Google SecOps 服务账号

Google SecOps 使用唯一的服务账号从您的 GCS 存储分区中读取数据。您必须授予此服务账号对您的存储分区的访问权限。

获取服务账号电子邮件地址

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 点击配置单个 Feed。
4. 在Feed 名称字段中，输入 Feed 的名称（例如 Workday Audit Logs）。
5. 选择 Google Cloud Storage V2 作为来源类型。
6. 选择 Workday 审核作为日志类型。

7. 点击获取服务账号。系统会显示一个唯一的服务账号电子邮件地址，例如：

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. 复制此电子邮件地址，以便在下一步中使用。

向 Google SecOps 服务账号授予 IAM 权限

Google SecOps 服务账号需要对您的 GCS 存储分区具有 Storage Object Viewer 角色。

1. 前往 Cloud Storage > 存储分区。
2. 点击您的存储分区名称。
3. 前往权限标签页。
4. 点击授予访问权限。
5. 提供以下配置详细信息：
   • 添加主账号：粘贴 Google SecOps 服务账号电子邮件地址。
   • 分配角色：选择 Storage Object Viewer。

6. 点击保存。

在 Google SecOps 中配置 Feed 以提取 Workday 审核日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 点击配置单个 Feed。
4. 在Feed 名称字段中，输入 Feed 的名称（例如 Workday Audit Logs）。
5. 选择 Google Cloud Storage V2 作为来源类型。
6. 选择 Workday 审核作为日志类型。
7. 点击下一步。

8. 为以下输入参数指定值：

   • 存储分区网址：输入带有前缀路径的 GCS 存储分区 URI：

     gs://workday-audit-logs/
     

     • 将 workday-audit-logs 替换为您的实际 GCS 存储分区名称。

   • 来源删除选项：根据您的偏好选择删除选项：

     • 永不：永不删除转移后的任何文件（建议用于测试）。
     • 删除已转移的文件：在成功转移后删除文件。
     • 删除已转移的文件和空目录：在成功转移后删除文件和空目录。

   • 文件存在时间上限：包含在过去指定天数内修改的文件。默认值为 180 天。

   • 资产命名空间：资产命名空间。

   • 注入标签：要应用于此 Feed 中事件的标签。

9. 点击下一步。

10. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
账号	metadata.event_type	如果“Account”字段不为空，则“metadata.event_type”字段设置为“USER_RESOURCE_UPDATE_CONTENT”。
账号	principal.user.primaryId	使用 grok 模式从“账号”字段中提取用户 ID，并将其映射到 principal.user.primaryId。
账号	principal.user.primaryName	用户显示名称使用 grok 模式从“账号”字段中提取，并映射到“principal.user.primaryName”。
ActivityCategory	metadata.event_type	如果“ActivityCategory”字段为“READ”，则“metadata.event_type”字段设置为“RESOURCE_READ”。如果为“WRITE”，则设置为“RESOURCE_WRITTEN”。
ActivityCategory	metadata.product_event_type	直接从“ActivityCategory”字段映射。
AffectedGroups	target.user.group_identifiers	直接从“AffectedGroups”字段映射。
领域	target.resource.attribute.labels.area.value	直接从“面积”字段映射。
AuthType	extensions.auth.auth_details	直接从“AuthType”字段映射。
AuthType	extensions.auth.type	根据特定值，从“AuthType”字段映射到 UDM 中定义的不同身份验证类型。
CFIPdeConexion	src.domain.name	如果“CFIPdeConexion”字段不是有效的 IP 地址，则会映射到“src.domain.name”。
CFIPdeConexion	target.ip	如果“CFIPdeConexion”字段是有效的 IP 地址，则会映射到“target.ip”。
ChangedRelationship	metadata.description	直接从“ChangedRelationship”字段映射。
ClassOfInstance	target.resource.attribute.labels.class_instance.value	直接从“ClassOfInstance”字段映射。
column18	about.labels.utub.value	直接从“column18”字段映射。
CreatedBy	principal.user.userid	使用 grok 模式从“CreatedBy”字段中提取用户 ID，并将其映射到“principal.user.userid”。
CreatedBy	principal.user.user_display_name	用户显示名使用 grok 模式从“CreatedBy”字段中提取，并映射到“principal.user.user_display_name”。
网域	about.domain.name	直接从“网域”字段映射。
EffectiveDate	@timestamp	在转换为“yyyy-MM-dd HH:mm:ss.SSSZ”格式后，解析为“@timestamp”。
EntryMoment	@timestamp	在转换为“ISO8601”格式后，解析为“@timestamp”。
EventType	security_result.description	直接从“EventType”字段映射。
表单	target.resource.name	直接从“表单”字段映射。
InstancesAdded	about.resource.attribute.labels.instances_added.value	直接从“InstancesAdded”字段映射。
InstancesAdded	target.user.attribute.roles.instances_added.name	直接从“InstancesAdded”字段映射。
InstancesRemoved	about.resource.attribute.labels.instances_removed.value	直接从“InstancesRemoved”字段映射。
InstancesRemoved	target.user.attribute.roles.instances_removed.name	直接从“InstancesRemoved”字段映射。
IntegrationEvent	target.resource.attribute.labels.integration_event.value	直接从“IntegrationEvent”字段映射。
IntegrationStatus	security_result.action_details	直接从“IntegrationStatus”字段映射。
IntegrationSystem	target.resource.name	直接从“IntegrationSystem”字段映射。
IP	src.domain.name	如果“IP”字段不是有效的 IP 地址，则会映射到“src.domain.name”。
IP	src.ip	如果“IP”字段是有效的 IP 地址，则会映射到“src.ip”。
IsDeviceManaged	additional.fields.additional1.value.string_value	如果“IsDeviceManaged”字段为“N”，则该值设置为“Successful”。否则，系统会将其设置为“登录失败”。
IsDeviceManaged	additional.fields.additional2.value.string_value	如果“IsDeviceManaged”字段为“N”，则该值设置为“Successful”。否则，该值会设置为“凭据无效”。
IsDeviceManaged	additional.fields.additional3.value.string_value	如果“IsDeviceManaged”字段为“N”，则该值设置为“Successful”。否则，该值会设置为“账号已锁定”。
IsDeviceManaged	security_result.action_details	直接从“IsDeviceManaged”字段映射。
OutputFiles	about.file.full_path	直接从“OutputFiles”字段映射。
人物	principal.user.primaryId	如果“Person”字段以“INT”开头，则使用 Grok 模式提取用户 ID 并将其映射到“principal.user.primaryId”。
人物	principal.user.primaryName	如果“Person”字段以“INT”开头，则使用 Grok 模式提取用户显示名称并将其映射到“principal.user.primaryName”。
人物	principal.user.user_display_name	如果“Person”字段不是以“INT”开头，则直接映射到“principal.user.user_display_name”。
人物	metadata.event_type	如果“Person”字段不为空，则将“metadata.event_type”字段设置为“USER_RESOURCE_UPDATE_CONTENT”。
ProcessedTransaction	target.resource.attribute.creation_time	在转换为“dd/MM/yyyy HH:mm:ss,SSS (ZZZ)”“dd/MM/yyyy, HH:mm:ss,SSS (ZZZ)”或“MM/dd/yyyy, HH:mm:ss.SSS A ZZZ”格式后，解析为“target.resource.attribute.creation_time”。
ProgramBy	principal.user.userid	直接从“ProgramBy”字段映射。
RecurrenceEndDate	principal.resource.attribute.last_update_time	在转换为“yyyy-MM-dd”格式后，解析为“principal.resource.attribute.last_update_time”。
RecurrenceStartDate	principal.resource.attribute.creation_time	在转换为“yyyy-MM-dd”格式后，解析为“principal.resource.attribute.creation_time”。
RequestName	metadata.description	直接从“RequestName”字段映射。
ResponseMessage	security_result.summary	直接从“ResponseMessage”字段映射。
RestrictedToEnvironment	security_result.about.hostname	直接从“RestrictedToEnvironment”字段映射。
RevokedSecurity	security_result.outcomes.outcomes.value	直接从“RevokedSecurity”字段映射。
RunFrequency	principal.resource.attribute.labels.run_frequency.value	直接从“RunFrequency”字段映射。
ScheduledProcess	principal.resource.name	直接从“ScheduledProcess”字段映射。
SecuredTaskExecuted	target.resource.name	直接从“SecuredTaskExecuted”字段映射。
SecureTaskExecuted	metadata.event_type	如果“SecureTaskExecuted”字段包含“Create”，则“metadata.event_type”字段设置为“USER_RESOURCE_CREATION”。
SecureTaskExecuted	target.resource.name	直接从“SecureTaskExecuted”字段映射。
SentTime	@timestamp	在转换为“ISO8601”格式后，解析为“@timestamp”。
SessionId	network.session_id	直接从“SessionId”字段映射。
ShareBy	target.user.userid	直接从“ShareBy”字段映射。
SignOffTime	additional.fields.additional4.value.string_value	“AuthFailMessage”字段值放置在“additional.fields”数组中，键为“Enterprise Interface Builder”。
SignOffTime	metadata.description	直接从“AuthFailMessage”字段映射。
SignOffTime	metadata.event_type	如果“SignOffTime”字段为空，则“metadata.event_type”字段设置为“USER_LOGIN”。否则，该值会设置为“USER_LOGOUT”。
SignOffTime	principal.user.attribute.last_update_time	在转换为“ISO8601”格式后，解析为“principal.user.attribute.last_update_time”。
SignOnIp	src.domain.name	如果“SignOnIp”字段不是有效的 IP 地址，则会映射到“src.domain.name”。
SignOnIp	src.ip	如果“SignOnIp”字段是有效的 IP 地址，则会映射到“src.ip”。
状态	metadata.product_event_type	直接从“状态”字段映射。
SystemAccount	principal.user.email_addresses	电子邮件地址使用 grok 模式从“SystemAccount”字段中提取，并映射到“principal.user.email_addresses”。
SystemAccount	principal.user.primaryId	用户 ID 是使用 grok 模式从“SystemAccount”字段中提取的，并映射到“principal.user.primaryId”。
SystemAccount	principal.user.primaryName	用户显示名使用 Grok 模式从“SystemAccount”字段中提取，并映射到“principal.user.primaryName”。
SystemAccount	src.user.userid	使用 Grok 模式从“SystemAccount”字段中提取辅助用户 ID，并将其映射到“src.user.userid”。
SystemAccount	src.user.user_display_name	辅助用户显示名使用 Grok 模式从“SystemAccount”字段中提取，并映射到“src.user.user_display_name”。
SystemAccount	target.user.userid	使用 grok 模式从“SystemAccount”字段中提取目标用户 ID，并将其映射到“target.user.userid”。
目标	target.user.user_display_name	直接从“目标”字段映射。
模板	about.resource.name	直接从“模板”字段映射。
租户	target.asset.hostname	直接从“租户”字段映射。
TlsVersion	network.tls.version	直接从“TlsVersion”字段映射。
交易	security_result.action_details	直接从“交易”字段映射。
TransactionType	security_result.summary	直接从“TransactionType”字段映射。
TypeForm	target.resource.resource_subtype	直接从“TypeForm”字段映射。
UserAgent	network.http.parsed_user_agent	使用“useragent”过滤条件从“UserAgent”字段解析。
UserAgent	network.http.user_agent	直接从“UserAgent”字段映射。
WorkdayAccount	target.user.user_display_name	用户显示名使用 grok 模式从“WorkdayAccount”字段中提取，并映射到“target.user.user_display_name”。
WorkdayAccount	target.user.userid	使用 grok 模式从“WorkdayAccount”字段中提取用户 ID，并将其映射到“target.user.userid”。
additional.fields.additional1.key	设置为“FailedSignOn”。
additional.fields.additional2.key	设置为“InvalidCredentials”。
additional.fields.additional3.key	设置为“AccountLocked”。
additional.fields.additional4.key	设置为“Enterprise Interface Builder”。
metadata.event_type	最初设置为“GENERIC_EVENT”，然后根据涉及其他字段的逻辑进行更新。
metadata.event_type	对于特定事件类型，设置为“USER_CHANGE_PERMISSIONS”。
metadata.event_type	对于特定事件类型，设置为“RESOURCE_WRITTEN”。
metadata.log_type	硬编码为“WORKDAY_AUDIT”。
metadata.product_name	硬编码为“Enterprise Interface Builder”。
metadata.vendor_name	硬编码为“Workday”。
principal.asset.category	如果“DeviceType”字段为“Phone”，则设置为“Phone”。
principal.resource.resource_type	如果“ScheduledProcess”字段不为空，则硬编码为“TASK”。
security_result.action	根据“FailedSignOn”“IsDeviceManaged”“InvalidCredentials”和“AccountLocked”字段的值设置为“ALLOW”或“FAIL”。
security_result.summary	根据“FailedSignOn”“IsDeviceManaged”“InvalidCredentials”和“AccountLocked”字段的值，设置为“成功”或特定错误消息。
target.resource.resource_type	对于特定事件类型，硬编码为“TASK”。
target.resource.resource_type	如果“TypeForm”字段不为空，则硬编码为“DATASET”。
私信	principal.user.email_addresses	使用 Grok 模式从“message”字段中提取电子邮件地址，并在匹配特定模式时将其合并到“principal.user.email_addresses”中。
私信	src.user.userid	如果“event.idm.read_only_udm.principal.user.userid”字段与从“message”字段中提取的“user_target”匹配，则清除该字段。
私信	src.user.user_display_name	如果“event.idm.read_only_udm.principal.user.userid”字段与从“message”字段中提取的“user_target”匹配，则清除该字段。
私信	target.user.userid	使用 Grok 模式从“message”字段中提取用户 ID，并在匹配特定模式时将其映射到“target.user.userid”。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。