Zoom-Betriebsprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Zoom-Vorgangsprotokolle mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser transformiert die Rohlogs in ein einheitliches Datenmodell (Unified Data Model, UDM). Dabei werden Felder aus der Rohlogmeldung extrahiert, Daten bereinigt und normalisiert und die extrahierten Informationen entsprechenden UDM-Feldern zugeordnet. So werden die Daten für die Analyse und Korrelation in einem SIEM-System angereichert.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Funktionen, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf Zoom

Voraussetzungen für das Erfassen von Zoom-Vorgangsprotokollen

  1. Melden Sie sich im Zoom App Marketplace an.
  2. Rufen Sie Develop > Build App > Server-to-Server OAuth auf.
  3. Erstellen Sie die App und fügen Sie den folgenden Bereich hinzu: report:read:operation_logs:admin (oder report:read:admin).

  4. Kopieren und speichern Sie unter App-Anmeldedaten die folgenden Details an einem sicheren Ort:

    • Konto-ID
    • Client-ID
    • Client-Secret

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

  1. Melden Sie sich in Ihrem Zoom-Konto an.
  2. Klicken Sie auf Verwaltung > Kontoverwaltung > Kontoprofil.
  3. Wenn Sie auf die Kontoeinstellungen zugreifen und Vorgangsprotokolle aufrufen können, haben Sie die erforderlichen Berechtigungen.
  4. Wenn Sie nicht auf diese Optionen zugreifen können, wenden Sie sich an Ihren Zoom-Administrator, um die erforderlichen Berechtigungen zu erhalten.

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    # Replace with your actual credentials
ZOOM_ACCOUNT_ID="<your-account-id>"
ZOOM_CLIENT_ID="<your-client-id>"
ZOOM_CLIENT_SECRET="<your-client-secret>"

# Get OAuth token
TOKEN=$(curl -s -X POST "https://zoom.us/oauth/token?grant_type=account_credentials&account_id=${ZOOM_ACCOUNT_ID}" \
  -u "${ZOOM_CLIENT_ID}:${ZOOM_CLIENT_SECRET}" \
  | grep -o '"access_token":"[^"]*"' | cut -d'"' -f4)

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" \
  "https://api.zoom.us/v2/report/operationlogs?from=$(date -u -d '1 day ago' +%Y-%m-%d)&to=$(date -u +%Y-%m-%d)&page_size=10"

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. zoom-operation-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie zoom-operationlogs-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Zoom operation logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets, z. B. zoom-operation-logs.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. zoom-operationlogs-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie zoom-operationlogs-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Zoom API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname zoom-operationlogs-to-gcs
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen die Option zoom-operationlogs-trigger aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie zoom-operationlogs-sa aus.

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert
    GCS_BUCKET zoom-operation-logs
    GCS_PREFIX zoom/operationlogs/
    STATE_KEY zoom/operationlogs/state.json
    ZOOM_ACCOUNT_ID <your-zoom-account-id>
    ZOOM_CLIENT_ID <your-zoom-client-id>
    ZOOM_CLIENT_SECRET <your-zoom-client-secret>
    PAGE_SIZE 300
    TIMEOUT 30

  10. Scrollen Sie im Bereich Variablen und Secrets zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, date, timedelta, timezone
import base64
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'zoom/operationlogs/')
STATE_KEY = os.environ.get('STATE_KEY', 'zoom/operationlogs/state.json')
ZOOM_ACCOUNT_ID = os.environ.get('ZOOM_ACCOUNT_ID')
ZOOM_CLIENT_ID = os.environ.get('ZOOM_CLIENT_ID')
ZOOM_CLIENT_SECRET = os.environ.get('ZOOM_CLIENT_SECRET')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '300'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

TOKEN_URL = "https://zoom.us/oauth/token"
REPORT_URL = "https://api.zoom.us/v2/report/operationlogs"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Zoom operation logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, ZOOM_ACCOUNT_ID, ZOOM_CLIENT_ID, ZOOM_CLIENT_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        bucket = storage_client.bucket(GCS_BUCKET)

        # Get OAuth token
        token = get_token()

        # Load state
        state = load_state(bucket, STATE_KEY)
        cursor_date = state.get('cursor_date', date.today().isoformat())

        print(f'Processing logs for date: {cursor_date}')

        # Fetch logs
        from_date = cursor_date
        to_date = cursor_date
        total_written = 0
        next_token = state.get('next_page_token')

        while True:
            page = fetch_page(token, from_date, to_date, next_token)
            items = page.get('operation_logs', []) or []

            if items:
                write_chunk(bucket, items, datetime.now(timezone.utc))
                total_written += len(items)

            next_token = page.get('next_page_token')
            if not next_token:
                break

        # Advance to next day if we've finished this date
        today = date.today().isoformat()
        if cursor_date < today:
            nxt = (datetime.fromisoformat(cursor_date) + timedelta(days=1)).date().isoformat()
            state['cursor_date'] = nxt
            state['next_page_token'] = None
        else:
            # stay on today; continue later with next_page_token=None
            state['next_page_token'] = None

        save_state(bucket, STATE_KEY, state)

        print(f'Successfully processed {total_written} logs for {from_date}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token():
    """Get OAuth 2.0 access token from Zoom."""
    params = f"grant_type=account_credentials&account_id={ZOOM_ACCOUNT_ID}"
    basic = base64.b64encode(f"{ZOOM_CLIENT_ID}:{ZOOM_CLIENT_SECRET}".encode('utf-8')).decode('utf-8')

    headers = {
        'Authorization': f'Basic {basic}',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Accept': 'application/json',
        'Host': 'zoom.us'
    }

    response = http.request(
        'POST',
        TOKEN_URL,
        body=params,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'Token request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to get OAuth token: {response.status}')

    body = json.loads(response.data.decode('utf-8'))
    return body['access_token']

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')

    # Initial state: start today
    today = date.today().isoformat()
    return {'cursor_date': today, 'next_page_token': None}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        state['updated_at'] = datetime.now(timezone.utc).isoformat()
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def write_chunk(bucket, items, ts):
    """Write log chunk to GCS."""
    key = f"{GCS_PREFIX}{ts:%Y/%m/%d}/zoom-operationlogs-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for rec in items:
            gz.write((json.dumps(rec) + '\n').encode('utf-8'))

    buf.seek(0)
    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Wrote {len(items)} logs to {key}')
    return key

def fetch_page(token, from_date, to_date, next_page_token):
    """Fetch a page of logs from Zoom API."""
    params = {
        'from': from_date,
        'to': to_date,
        'page_size': str(PAGE_SIZE)
    }

    if next_page_token:
        params['next_page_token'] = next_page_token

    # Build query string
    query_string = '&'.join([f"{k}={v}" for k, v in params.items()])
    url = f"{REPORT_URL}?{query_string}"

    headers = {
        'Authorization': f'Bearer {token}',
        'Accept': 'application/json'
    }

    response = http.request(
        'GET',
        url,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'API request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to fetch logs: {response.status}')

    return json.loads(response.data.decode('utf-8'))
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name zoom-operationlogs-schedule-15min
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz */15 * * * * (alle 15 Minuten)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema zoom-operationlogs-trigger auswählen
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Standard (empfohlen)
    Stündlich 0 * * * * Geringes Suchvolumen
    Alle 6 Stunden 0 */6 * * * Batchverarbeitung

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (z. B. zoom-operationlogs-schedule-15min).
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Funktionsnamen (zoom-operationlogs-to-gcs).
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

    Processing logs for date: YYYY-MM-DD
Page 1: Retrieved X events
Wrote X records to zoom/operationlogs/YYYY/MM/DD/zoom-operationlogs-UUID.json.gz
Successfully processed X logs for YYYY-MM-DD

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets (zoom-operation-logs).

  10. Rufen Sie den Präfixordner (zoom/operationlogs/) auf.

  11. Prüfen Sie, ob eine neue .json.gz-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

  • HTTP 401: Zoom API-Anmeldedaten in Umgebungsvariablen prüfen
  • HTTP 403: Prüfen Sie, ob die Zoom-App den Bereich report:read:operation_logs:admin hat.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen in der Cloud Run-Funktionskonfiguration festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Zoom Operation Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Zoom Operation Logs (Zoom-Vorgangsprotokolle) als Log type (Logtyp) aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets, z. B. zoom-operation-logs.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Zoom-Vorgangsprotokolle aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Zoom Operation Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Zoom Operation Logs (Zoom-Vorgangsprotokolle) als Log type (Logtyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://zoom-operation-logs/zoom/operationlogs/

      • Ersetzen Sie:

        • zoom-operation-logs: Der Name Ihres GCS-Buckets.
        • zoom/operationlogs/: Präfixpfad, in dem Logs gespeichert werden.

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.
      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Aktion metadata.product_event_type Das Rohlogfeld „action“ wird diesem UDM-Feld zugeordnet.
category_type additional.fields.key Das Rohlogfeld „category_type“ wird diesem UDM-Feld zugeordnet.
category_type additional.fields.value.string_value Das Rohlogfeld „category_type“ wird diesem UDM-Feld zugeordnet.
Abteilung target.user.department Das Rohprotokollfeld „Department“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Beschreibung target.user.role_description Das Rohprotokollfeld „Description“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Anzeigename target.user.user_display_name Das Rohprotokollfeld „Display Name“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
E-Mail-Adresse target.user.email_addresses Das Rohprotokollfeld „E-Mail-Adresse“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Vorname target.user.first_name Das Rohprotokollfeld „Vorname“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Position target.user.title Das Rohprotokollfeld „Job Title“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Nachname target.user.last_name Das Rohprotokollfeld „Last Name“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Standort target.location.name Das Rohprotokollfeld „Location“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
operation_detail metadata.description Das Rohprotokollfeld „operation_detail“ wird diesem UDM-Feld zugeordnet.
Operator principal.user.email_addresses Das Rohlogfeld „operator“ wird diesem UDM-Feld zugeordnet, wenn es mit einem E-Mail-regulären Ausdruck übereinstimmt.
Operator principal.user.userid Das Rohlogfeld „operator“ wird diesem UDM-Feld zugeordnet, wenn es nicht mit einem E-Mail-regulären Ausdruck übereinstimmt.
Name des Raums target.user.attribute.labels.value Das Rohprotokollfeld „Room Name“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Rollenname target.user.attribute.roles.name Das Rohprotokollfeld „Role Name“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Zeit metadata.event_timestamp.seconds Das Rohlogfeld „time“ wird geparst und diesem UDM-Feld zugeordnet.
Typ target.user.attribute.labels.value Das Rohprotokollfeld „Type“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Nutzerrolle target.user.attribute.roles.name Das Rohprotokollfeld „User Role“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Nutzertyp target.user.attribute.labels.value Das Rohprotokollfeld „User Type“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
metadata.log_type Diesem UDM-Feld wird der Wert „ZOOM_OPERATION_LOGS“ zugewiesen.
metadata.vendor_name Diesem UDM-Feld wird der Wert „ZOOM“ zugewiesen.
metadata.product_name Diesem UDM-Feld wird der Wert „ZOOM_OPERATION_LOGS“ zugewiesen.
metadata.event_type Der Wert wird anhand der folgenden Logik ermittelt: 1. Wenn das Feld „event_type“ nicht leer ist, wird sein Wert verwendet. 1. Wenn die Felder „operator“, „email“ oder „email2“ nicht leer sind, wird der Wert auf „USER_UNCATEGORIZED“ gesetzt. 1. Andernfalls wird der Wert auf „GENERIC_EVENT“ gesetzt.
json_data about.user.attribute.labels.value Das Rohlogfeld „json_data“ (aus dem Feld „operation_detail“ extrahiert) wird als JSON geparst. Die Felder „assistant“ und „options“ aus jedem Element des geparsten JSON-Arrays werden dem Feld „value“ des Arrays „labels“ im UDM zugeordnet.
json_data about.user.userid Das Rohlogfeld „json_data“ (aus dem Feld „operation_detail“ extrahiert) wird als JSON geparst. Das Feld „userId“ aus jedem Element des geparsten JSON-Arrays (mit Ausnahme des ersten) wird dem Feld „userid“ des Objekts „about.user“ im UDM zugeordnet.
json_data target.user.attribute.labels.value Das Rohlogfeld „json_data“ (aus dem Feld „operation_detail“ extrahiert) wird als JSON geparst. Die Felder „assistant“ und „options“ aus dem ersten Element des geparsten JSON-Arrays werden dem Feld „value“ des Arrays „labels“ im UDM zugeordnet.
json_data target.user.userid Das Rohlogfeld „json_data“ (aus dem Feld „operation_detail“ extrahiert) wird als JSON geparst. Das Feld „userId“ aus dem ersten Element des geparsten JSON-Arrays wird dem Feld „userid“ des Objekts „target.user“ im UDM zugeordnet.
E-Mail target.user.email_addresses Das Rohprotokollfeld „email“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
email2 target.user.email_addresses Das Rohprotokollfeld „email2“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.
Rolle target.user.attribute.roles.name Das Rohprotokollfeld „role“ (aus dem Feld „operation_detail“ extrahiert) wird diesem UDM-Feld zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten