WP Engine-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie WP Engine-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

WP Engine ist eine verwaltete WordPress-Hostingplattform, die Hosting der Enterprise-Klasse mit integrierten Sicherheits-, Leistungsoptimierungs- und CDN-Diensten bietet. Es werden Zugriffslogs, Fehlerlogs und CDN-Ereignislogs generiert, die über die WP Engine API abgerufen werden können.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf das WP Engine-Nutzerportal mit API-Zugriffsberechtigungen
• Ein WP Engine-Konto mit aktiviertem API-Zugriff

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. wpengine-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Ort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

WP Engine API-Anmeldedaten erfassen

API-Anmeldedaten generieren

1. Melden Sie sich im WP Engine-Nutzerportal an.
2. Klicken Sie auf Ihren Profilnamen und rufen Sie dann Profil > API-Zugriff auf.
3. Klicken Sie auf Anmeldedaten generieren.

4. Kopieren Sie die folgenden Details und speichern Sie sie an einem sicheren Ort:

   • API-Nutzername: Der generierte API-Nutzername
   • API-Passwort: Das generierte API-Passwort (wird nur einmal angezeigt)

Installationsname abrufen

1. Melden Sie sich im WP Engine-Nutzerportal an.
2. Klicken Sie im Navigationsmenü auf Websites.
3. Klicken Sie auf die Website, von der Sie Protokolle erfassen möchten.
4. Notieren Sie sich den Installationsnamen, der auf der Seite „Websiteübersicht“ angezeigt wird. Jede Umgebung (Produktion, Staging, Entwicklung) hat einen separaten Installationsnamen.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  WPE_USER="your-api-username"
  WPE_PASSWORD="your-api-password"
  
  # Test API access - list installs
  curl -v -u "${WPE_USER}:${WPE_PASSWORD}" "https://api.wpengineapi.com/v1/installs"
  

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie wpengine-logs-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect WP Engine logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. wpengine-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. wpengine-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie wpengine-logs-trigger ein.
   • Andere Einstellungen als Standardeinstellungen beibehalten
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der WP Engine API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	wpengine-logs-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema wpengine-logs-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto wpengine-logs-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	wpengine-logs	Name des GCS-Buckets
   GCS_PREFIX	wpengine	Präfix für Protokolldateien
   STATE_KEY	wpengine/state.json	Statusdateipfad
   WPE_API_USER	your-api-username	WP Engine-API-Nutzername
   WPE_API_PASSWORD	your-api-password	WP Engine-API-Passwort
   WPE_INSTALL_ID	myinstall	Installationsname von WP Engine
   MAX_RECORDS	5000	Maximale Anzahl von Datensätzen pro Ausführung
   PAGE_SIZE	100	Einträge pro Seite
   LOOKBACK_HOURS	24	Erster Rückschauzeitraum

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

   • Erste Datei: main.py::

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone, timedelta
   import time
   import base64
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
     timeout=urllib3.Timeout(connect=5.0, read=30.0),
     retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Environment variables
   GCS_BUCKET = os.environ.get('GCS_BUCKET')
   GCS_PREFIX = os.environ.get('GCS_PREFIX', 'wpengine')
   STATE_KEY = os.environ.get('STATE_KEY', 'wpengine/state.json')
   WPE_API_USER = os.environ.get('WPE_API_USER')
   WPE_API_PASSWORD = os.environ.get('WPE_API_PASSWORD')
   WPE_INSTALL_ID = os.environ.get('WPE_INSTALL_ID')
   MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
   PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
   LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
   
   # WP Engine API base URL
   API_BASE = 'https://api.wpengineapi.com/v1'
   
   # Log types to fetch
   LOG_TYPES = ['access', 'error']
   
   def get_auth_header():
     """Generate HTTP Basic auth header for WP Engine API."""
     credentials = f"{WPE_API_USER}:{WPE_API_PASSWORD}"
     encoded = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')
     return f"Basic {encoded}"
   
   @functions_framework.cloud_event
   def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch WP Engine
     logs and write to GCS.
   
     Args:
       cloud_event: CloudEvent object containing Pub/Sub message
     """
   
     if not all([GCS_BUCKET, WPE_API_USER, WPE_API_PASSWORD, WPE_INSTALL_ID]):
       print('Error: Missing required environment variables')
       return
   
     try:
       bucket = storage_client.bucket(GCS_BUCKET)
   
       # Load state
       state = load_state(bucket, STATE_KEY)
   
       # Determine time window
       now = datetime.now(timezone.utc)
       last_offsets = {}
   
       if isinstance(state, dict) and state.get("last_offsets"):
         last_offsets = state["last_offsets"]
   
       print(f"Fetching logs for install: {WPE_INSTALL_ID}")
   
       auth_header = get_auth_header()
       all_records = []
   
       # Fetch both access and error log types
       for log_type in LOG_TYPES:
         last_offset = last_offsets.get(log_type, 0)
   
         records = fetch_logs(
           auth_header=auth_header,
           install_id=WPE_INSTALL_ID,
           log_type=log_type,
           start_offset=last_offset,
           page_size=PAGE_SIZE,
           max_records=MAX_RECORDS,
         )
   
         # Tag records with log type
         for record in records:
           record['_wpe_log_type'] = log_type
   
         all_records.extend(records)
   
         # Update offset for this log type
         if records:
           last_offsets[log_type] = last_offset + len(records)
   
         print(f"Fetched {len(records)} {log_type} log records")
   
       if not all_records:
         print("No new log records found.")
         save_state(bucket, STATE_KEY, last_offsets)
         return
   
       # Write to GCS as NDJSON
       timestamp = now.strftime('%Y%m%d_%H%M%S')
       object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
       blob = bucket.blob(object_key)
   
       ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
       blob.upload_from_string(ndjson, content_type='application/x-ndjson')
   
       print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")
   
       # Update state
       save_state(bucket, STATE_KEY, last_offsets)
   
       print(f"Successfully processed {len(all_records)} records")
   
     except Exception as e:
       print(f'Error processing logs: {str(e)}')
       raise
   
   def load_state(bucket, key):
     """Load state from GCS."""
     try:
       blob = bucket.blob(key)
       if blob.exists():
         state_data = blob.download_as_text()
         return json.loads(state_data)
     except Exception as e:
       print(f"Warning: Could not load state: {e}")
   
     return {}
   
   def save_state(bucket, key, last_offsets: dict):
     """Save the last offsets to GCS state file."""
     try:
       state = {'last_offsets': last_offsets}
       blob = bucket.blob(key)
       blob.upload_from_string(
         json.dumps(state, indent=2),
         content_type='application/json'
       )
       print(f"Saved state: last_offsets={last_offsets}")
     except Exception as e:
       print(f"Warning: Could not save state: {e}")
   
   def fetch_logs(auth_header: str, install_id: str, log_type: str, start_offset: int, page_size: int, max_records: int):
     """
     Fetch logs from WP Engine API with offset-based pagination
     and rate limiting.
   
     Args:
       auth_header: HTTP Basic auth header
       install_id: WP Engine install name
       log_type: Log type to fetch (access or error)
       start_offset: Starting offset for pagination
       page_size: Number of records per page
       max_records: Maximum total records to fetch
   
     Returns:
       List of log records
     """
     headers = {
       'Authorization': auth_header,
       'Accept': 'application/json',
       'User-Agent': 'GoogleSecOps-WPEngineCollector/1.0'
     }
   
     records = []
     offset = start_offset
     page_num = 0
     backoff = 1.0
   
     while True:
       page_num += 1
   
       if len(records) >= max_records:
         print(f"Reached max_records limit ({max_records}) for {log_type}")
         break
   
       limit = min(page_size, max_records - len(records))
       url = f"{API_BASE}/installs/{install_id}/logs?type={log_type}&limit={limit}&offset={offset}"
   
       try:
         response = http.request('GET', url, headers=headers)
   
         # Handle rate limiting with exponential backoff
         if response.status == 429:
           retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
           print(f"Rate limited (429). Retrying after {retry_after}s...")
           time.sleep(retry_after)
           backoff = min(backoff * 2, 30.0)
           continue
   
         backoff = 1.0
   
         if response.status != 200:
           print(f"HTTP Error: {response.status}")
           response_text = response.data.decode('utf-8')
           print(f"Response body: {response_text}")
           return []
   
         data = json.loads(response.data.decode('utf-8'))
   
         page_results = data.get('results', data.get('data', []))
   
         if not page_results:
           print(f"No more results (empty page) for {log_type}")
           break
   
         print(f"Page {page_num}: Retrieved {len(page_results)} {log_type} events")
         records.extend(page_results)
   
         offset += len(page_results)
   
         # If we got fewer results than requested, no more pages
         if len(page_results) < limit:
           print(f"Last page reached for {log_type}")
           break
   
       except Exception as e:
         print(f"Error fetching {log_type} logs: {e}")
         return []
   
     print(f"Retrieved {len(records)} total {log_type} records from {page_num} pages")
     return records
   

   • Zweite Datei: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	wpengine-logs-collector-hourly
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Thema wpengine-logs-trigger aus.
   Nachrichtentext	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
Stündlich	0 * * * *	Standard (empfohlen)
Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung
Täglich	0 0 * * *	Erhebung von Verlaufsdaten

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf wpengine-logs-collector.
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Fetching logs for install: myinstall
   Page 1: Retrieved X access events
   Fetched X access log records
   Page 1: Retrieved X error events
   Fetched X error log records
   Wrote X records to gs://wpengine-logs/wpengine/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf den Namen Ihres Buckets (wpengine-logs).

10. Rufen Sie den Ordner wpengine/ auf.

11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
• HTTP 403: Prüfen Sie, ob der API-Zugriff im WP Engine-Nutzerportal aktiviert ist.
• HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Feed in Google SecOps konfigurieren, um WP Engine-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. WP Engine Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie WPEngine als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E-Mail-Adresse.

9. Klicken Sie auf Weiter.

10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://wpengine-logs/wpengine/
      

      • Ersetzen Sie:
        • wpengine-logs: Der Name Ihres GCS-Buckets.
        • wpengine: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard: 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

11. Klicken Sie auf Weiter.

12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
request, sig, blog_id, kind, name, slug, ver	additional.fields	Mit Labels aus der Anfrage zusammengeführt (als request_label), sig (als sig_label), blog_id (als blog_id_label), kind (als kind_label), name (als name_label), slug (als slug_label), ver (als ver_label), sofern die einzelnen Felder nicht leer sind
msg	metadata.description	Wert direkt kopiert
	metadata.event_type	Auf „STATUS_UPDATE“ festlegen, wenn „has_principal“ auf „true“ gesetzt ist, andernfalls „GENERIC_EVENT“
Protokoll	network.application_protocol	Wert direkt kopiert
Version	network.application_protocol_version	In String konvertiert
method	network.http.method	Wert direkt kopiert
user_agent	network.http.parsed_user_agent	In „parseduseragent“ konvertiert
secure_url	network.http.referral_url	Wert direkt kopiert
response_code	network.http.response_code	In String und dann in Ganzzahl umgewandelt
user_agent	network.http.user_agent	Wert direkt kopiert
received_bytes	network.received_bytes	In String und dann in unsigned integer konvertiert
Hostname	principal.asset.hostname	Wert direkt kopiert
client_ip	principal.asset.ip	Wert direkt kopiert
Hostname	principal.hostname	Wert direkt kopiert
client_ip	principal.ip	Wert direkt kopiert
Port	principal.port	In String und dann in Ganzzahl umgewandelt
pid	principal.process.pid	In String konvertiert
scan_type, scan_value	security_result.description	Wert aus „scan_value“, falls nicht leer, andernfalls aus „scan_type“, falls nicht leer

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten