Mengumpulkan log operasi Zoom

Didukung di:

Dokumen ini menjelaskan cara menyerap log operasi Zoom ke Google Security Operations menggunakan Google Cloud Storage. Parser mengubah log mentah menjadi model data terpadu (UDM). Parser ini mengekstrak kolom dari pesan log mentah, melakukan pembersihan dan normalisasi data, serta memetakan informasi yang diekstrak ke kolom UDM yang sesuai, yang pada akhirnya memperkaya data untuk analisis dan korelasi dalam sistem SIEM.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Project GCP dengan Cloud Storage API diaktifkan
  • Izin untuk membuat dan mengelola bucket GCS
  • Izin untuk mengelola kebijakan IAM di bucket GCS
  • Izin untuk membuat fungsi Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
  • Akses istimewa ke Zoom

Prasyarat pengumpulan log operasi Zoom

  1. Login ke Zoom App Marketplace.
  2. Buka Develop > Build App > Server-to-Server OAuth.
  3. Buat aplikasi dan tambahkan cakupan berikut: report:read:operation_logs:admin (atau report:read:admin).

  4. Di Kredensial Aplikasi, salin dan simpan detail berikut di lokasi yang aman:

    • ID Akun
    • Client-ID
    • Rahasia Klien

Verifikasi izin

Untuk memverifikasi bahwa akun memiliki izin yang diperlukan:

  1. Login ke akun Zoom Anda.
  2. Buka Admin > Pengelolaan Akun > Profil Akun.
  3. Jika Anda dapat mengakses setelan akun dan melihat log operasi, Anda memiliki izin yang diperlukan.
  4. Jika Anda tidak dapat mengakses opsi ini, hubungi administrator Zoom Anda untuk memberikan izin yang diperlukan.

Menguji akses API

  • Uji kredensial Anda sebelum melanjutkan integrasi:

    # Replace with your actual credentials
ZOOM_ACCOUNT_ID="<your-account-id>"
ZOOM_CLIENT_ID="<your-client-id>"
ZOOM_CLIENT_SECRET="<your-client-secret>"

# Get OAuth token
TOKEN=$(curl -s -X POST "https://zoom.us/oauth/token?grant_type=account_credentials&account_id=${ZOOM_ACCOUNT_ID}" \
  -u "${ZOOM_CLIENT_ID}:${ZOOM_CLIENT_SECRET}" \
  | grep -o '"access_token":"[^"]*"' | cut -d'"' -f4)

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" \
  "https://api.zoom.us/v2/report/operationlogs?from=$(date -u -d '1 day ago' +%Y-%m-%d)&to=$(date -u +%Y-%m-%d)&page_size=10"

Membuat bucket Google Cloud Storage

  1. Buka Google Cloud Console.
  2. Pilih project Anda atau buat project baru.
  3. Di menu navigasi, buka Cloud Storage > Buckets.
  4. Klik Create bucket.

  5. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, zoom-operation-logs)
    Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
    Lokasi Pilih lokasi (misalnya, us-central1)
    Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses)
    Access control Seragam (direkomendasikan)
    Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

  6. Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

  1. Di GCP Console, buka IAM & Admin > Service Accounts.
  2. Klik Create Service Account.
  3. Berikan detail konfigurasi berikut:
    • Nama akun layanan: Masukkan zoom-operationlogs-sa.
    • Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Zoom operation logs.
  4. Klik Create and Continue.
  5. Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
    1. Klik Pilih peran.
    2. Telusuri dan pilih Storage Object Admin.
    3. Klik + Add another role.
    4. Telusuri dan pilih Cloud Run Invoker.
    5. Klik + Add another role.
    6. Telusuri dan pilih Cloud Functions Invoker.
  6. Klik Lanjutkan.
  7. Klik Selesai.

Peran ini diperlukan untuk:

  • Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
  • Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
  • Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
  • Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda (misalnya, zoom-operation-logs).
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Tambahkan prinsipal: Masukkan email akun layanan (misalnya, zoom-operationlogs-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Tetapkan peran: Pilih Storage Object Admin.
  6. Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

  1. Di GCP Console, buka Pub/Sub > Topics.
  2. Klik Create topic.
  3. Berikan detail konfigurasi berikut:
    • ID Topik: Masukkan zoom-operationlogs-trigger.
    • Biarkan setelan lainnya tetap default.
  4. Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Zoom API dan menuliskannya ke GCS.

  1. Di GCP Console, buka Cloud Run.
  2. Klik Create service.
  3. Pilih Function (gunakan editor inline untuk membuat fungsi).

  4. Di bagian Konfigurasi, berikan detail konfigurasi berikut:

    Setelan Nilai
    Nama layanan zoom-operationlogs-to-gcs
    Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)
    Runtime Pilih Python 3.12 atau yang lebih baru

  5. Di bagian Pemicu (opsional):

    1. Klik + Tambahkan pemicu.
    2. Pilih Cloud Pub/Sub.
    3. Di Select a Cloud Pub/Sub topic, pilih zoom-operationlogs-trigger.
    4. Klik Simpan.

  6. Di bagian Authentication:

    1. Pilih Wajibkan autentikasi.
    2. Periksa Identity and Access Management (IAM).

  7. Scroll ke bawah dan luaskan Containers, Networking, Security.

  8. Buka tab Security:

    • Akun layanan: Pilih zoom-operationlogs-sa.

  9. Buka tab Containers:

    1. Klik Variables & Secrets.
    2. Klik + Tambahkan variabel untuk setiap variabel lingkungan:
    Nama Variabel Nilai Contoh
    GCS_BUCKET zoom-operation-logs
    GCS_PREFIX zoom/operationlogs/
    STATE_KEY zoom/operationlogs/state.json
    ZOOM_ACCOUNT_ID <your-zoom-account-id>
    ZOOM_CLIENT_ID <your-zoom-client-id>
    ZOOM_CLIENT_SECRET <your-zoom-client-secret>
    PAGE_SIZE 300
    TIMEOUT 30

  10. Di bagian Variabel & Secret, scroll ke Permintaan:

    • Waktu tunggu permintaan: Masukkan 600 detik (10 menit).

  11. Buka tab Setelan:

    • Di bagian Materi:
      • Memori: Pilih 512 MiB atau yang lebih tinggi.
      • CPU: Pilih 1.

  12. Di bagian Penskalaan revisi:

    • Jumlah minimum instance: Masukkan 0.
    • Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).

  13. Klik Buat.

  14. Tunggu hingga layanan dibuat (1-2 menit).

  15. Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

  1. Masukkan main di Function entry point

  2. Di editor kode inline, buat dua file:

    • File pertama: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, date, timedelta, timezone
import base64
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'zoom/operationlogs/')
STATE_KEY = os.environ.get('STATE_KEY', 'zoom/operationlogs/state.json')
ZOOM_ACCOUNT_ID = os.environ.get('ZOOM_ACCOUNT_ID')
ZOOM_CLIENT_ID = os.environ.get('ZOOM_CLIENT_ID')
ZOOM_CLIENT_SECRET = os.environ.get('ZOOM_CLIENT_SECRET')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '300'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

TOKEN_URL = "https://zoom.us/oauth/token"
REPORT_URL = "https://api.zoom.us/v2/report/operationlogs"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Zoom operation logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, ZOOM_ACCOUNT_ID, ZOOM_CLIENT_ID, ZOOM_CLIENT_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        bucket = storage_client.bucket(GCS_BUCKET)

        # Get OAuth token
        token = get_token()

        # Load state
        state = load_state(bucket, STATE_KEY)
        cursor_date = state.get('cursor_date', date.today().isoformat())

        print(f'Processing logs for date: {cursor_date}')

        # Fetch logs
        from_date = cursor_date
        to_date = cursor_date
        total_written = 0
        next_token = state.get('next_page_token')

        while True:
            page = fetch_page(token, from_date, to_date, next_token)
            items = page.get('operation_logs', []) or []

            if items:
                write_chunk(bucket, items, datetime.now(timezone.utc))
                total_written += len(items)

            next_token = page.get('next_page_token')
            if not next_token:
                break

        # Advance to next day if we've finished this date
        today = date.today().isoformat()
        if cursor_date < today:
            nxt = (datetime.fromisoformat(cursor_date) + timedelta(days=1)).date().isoformat()
            state['cursor_date'] = nxt
            state['next_page_token'] = None
        else:
            # stay on today; continue later with next_page_token=None
            state['next_page_token'] = None

        save_state(bucket, STATE_KEY, state)

        print(f'Successfully processed {total_written} logs for {from_date}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token():
    """Get OAuth 2.0 access token from Zoom."""
    params = f"grant_type=account_credentials&account_id={ZOOM_ACCOUNT_ID}"
    basic = base64.b64encode(f"{ZOOM_CLIENT_ID}:{ZOOM_CLIENT_SECRET}".encode('utf-8')).decode('utf-8')

    headers = {
        'Authorization': f'Basic {basic}',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Accept': 'application/json',
        'Host': 'zoom.us'
    }

    response = http.request(
        'POST',
        TOKEN_URL,
        body=params,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'Token request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to get OAuth token: {response.status}')

    body = json.loads(response.data.decode('utf-8'))
    return body['access_token']

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')

    # Initial state: start today
    today = date.today().isoformat()
    return {'cursor_date': today, 'next_page_token': None}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        state['updated_at'] = datetime.now(timezone.utc).isoformat()
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def write_chunk(bucket, items, ts):
    """Write log chunk to GCS."""
    key = f"{GCS_PREFIX}{ts:%Y/%m/%d}/zoom-operationlogs-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for rec in items:
            gz.write((json.dumps(rec) + '\n').encode('utf-8'))

    buf.seek(0)
    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Wrote {len(items)} logs to {key}')
    return key

def fetch_page(token, from_date, to_date, next_page_token):
    """Fetch a page of logs from Zoom API."""
    params = {
        'from': from_date,
        'to': to_date,
        'page_size': str(PAGE_SIZE)
    }

    if next_page_token:
        params['next_page_token'] = next_page_token

    # Build query string
    query_string = '&'.join([f"{k}={v}" for k, v in params.items()])
    url = f"{REPORT_URL}?{query_string}"

    headers = {
        'Authorization': f'Bearer {token}',
        'Accept': 'application/json'
    }

    response = http.request(
        'GET',
        url,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'API request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to fetch logs: {response.status}')

    return json.loads(response.data.decode('utf-8'))
    • File kedua: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klik Deploy untuk menyimpan dan men-deploy fungsi.

  4. Tunggu hingga deployment selesai (2-3 menit).

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

  1. Di GCP Console, buka Cloud Scheduler.
  2. Klik Create Job.

  3. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Nama zoom-operationlogs-schedule-15min
    Wilayah Pilih region yang sama dengan fungsi Cloud Run
    Frekuensi */15 * * * * (setiap 15 menit)
    Zona waktu Pilih zona waktu (UTC direkomendasikan)
    Jenis target Pub/Sub
    Topik Pilih zoom-operationlogs-trigger
    Isi pesan {} (objek JSON kosong)

  4. Klik Buat.

Opsi frekuensi jadwal

  • Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

    Frekuensi Ekspresi Cron Kasus Penggunaan
    Setiap 5 menit */5 * * * * Volume tinggi, latensi rendah
    Setiap 15 menit */15 * * * * Standar (direkomendasikan)
    Setiap jam 0 * * * * Volume rendah
    Setiap 6 jam 0 */6 * * * Batch processing

Menguji integrasi

  1. Di konsol Cloud Scheduler, temukan tugas Anda (misalnya, zoom-operationlogs-schedule-15min).
  2. Klik Force run untuk memicu tugas secara manual.
  3. Tunggu beberapa detik.
  4. Buka Cloud Run > Services.
  5. Klik nama fungsi (zoom-operationlogs-to-gcs).
  6. Klik tab Logs.

  7. Pastikan fungsi berhasil dieksekusi. Cari hal berikut:

    Processing logs for date: YYYY-MM-DD
Page 1: Retrieved X events
Wrote X records to zoom/operationlogs/YYYY/MM/DD/zoom-operationlogs-UUID.json.gz
Successfully processed X logs for YYYY-MM-DD

  8. Buka Cloud Storage > Buckets.

  9. Klik nama bucket Anda (zoom-operation-logs).

  10. Buka folder awalan (zoom/operationlogs/).

  11. Pastikan file .json.gz baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

  • HTTP 401: Periksa kredensial Zoom API di variabel lingkungan
  • HTTP 403: Pastikan aplikasi Zoom memiliki cakupan report:read:operation_logs:admin
  • Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan ditetapkan dalam konfigurasi fungsi Cloud Run

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Zoom Operation Logs).
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih Zoom Operation Logs sebagai Log type.

  7. Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Salin alamat email ini untuk digunakan di langkah berikutnya.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda (misalnya, zoom-operation-logs).
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Add principals: Tempel email akun layanan Google SecOps.
    • Tetapkan peran: Pilih Storage Object Viewer.

  6. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log operasi Zoom

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Zoom Operation Logs).
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih Zoom Operation Logs sebagai Log type.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:

      gs://zoom-operation-logs/zoom/operationlogs/

      • Ganti:

        • zoom-operation-logs: Nama bucket GCS Anda.
        • zoom/operationlogs/: Jalur awalan tempat log disimpan.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:

      • Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
      • Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
      • Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
tindakan metadata.product_event_type Kolom log mentah "action" dipetakan ke kolom UDM ini.
category_type additional.fields.key Kolom log mentah "category_type" dipetakan ke kolom UDM ini.
category_type additional.fields.value.string_value Kolom log mentah "category_type" dipetakan ke kolom UDM ini.
Subkategori target.user.department Kolom log mentah "Department" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Deskripsi target.user.role_description Kolom log mentah "Description" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Nama Tampilan target.user.user_display_name Kolom log mentah "Nama Tampilan" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Alamat Email target.user.email_addresses Kolom log mentah "Alamat Email" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Nama Depan target.user.first_name Kolom log mentah "Nama Depan" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Jabatan target.user.title Kolom log mentah "Job Title" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Nama Belakang target.user.last_name Kolom log mentah "Nama Belakang" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Lokasi target.location.name Kolom log mentah "Location" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
operation_detail metadata.description Kolom log mentah "operation_detail" dipetakan ke kolom UDM ini.
operator principal.user.email_addresses Kolom log mentah "operator" dipetakan ke kolom UDM ini jika cocok dengan regex email.
operator principal.user.userid Kolom log mentah "operator" dipetakan ke kolom UDM ini jika tidak cocok dengan regex email.
Nama Ruang target.user.attribute.labels.value Kolom log mentah "Room Name" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Nama Peran target.user.attribute.roles.name Kolom log mentah "Nama Peran" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
waktu metadata.event_timestamp.seconds Kolom log mentah "time" diuraikan dan dipetakan ke kolom UDM ini.
Jenis target.user.attribute.labels.value Kolom log mentah "Type" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Peran Pengguna target.user.attribute.roles.name Kolom log mentah "User Role" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
Jenis Pengguna target.user.attribute.labels.value Kolom log mentah "Jenis Pengguna" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
metadata.log_type Nilai "ZOOM_OPERATION_LOGS" ditetapkan ke kolom UDM ini.
metadata.vendor_name Nilai "ZOOM" ditetapkan ke kolom UDM ini.
metadata.product_name Nilai "ZOOM_OPERATION_LOGS" ditetapkan ke kolom UDM ini.
metadata.event_type Nilai ditentukan berdasarkan logika berikut: 1. Jika kolom "event_type" tidak kosong, nilainya akan digunakan. 1. Jika kolom "operator", "email", atau "email2" tidak kosong, nilai ditetapkan ke "USER_UNCATEGORIZED". 1. Jika tidak, nilai ditetapkan ke "GENERIC_EVENT".
json_data about.user.attribute.labels.value Kolom log mentah "json_data" (diekstrak dari kolom "operation_detail") diuraikan sebagai JSON. Kolom "assistant" dan "options" dari setiap elemen array JSON yang diuraikan dipetakan ke kolom "value" dari array "labels" di UDM.
json_data about.user.userid Kolom log mentah "json_data" (diekstrak dari kolom "operation_detail") diuraikan sebagai JSON. Kolom "userId" dari setiap elemen array JSON yang diuraikan (kecuali yang pertama) dipetakan ke kolom "userid" objek "about.user" di UDM.
json_data target.user.attribute.labels.value Kolom log mentah "json_data" (diekstrak dari kolom "operation_detail") diuraikan sebagai JSON. Kolom "assistant" dan "options" dari elemen pertama array JSON yang diuraikan dipetakan ke kolom "value" dari array "labels" di UDM.
json_data target.user.userid Kolom log mentah "json_data" (diekstrak dari kolom "operation_detail") diuraikan sebagai JSON. Kolom "userId" dari elemen pertama array JSON yang diuraikan dipetakan ke kolom "userid" objek "target.user" di UDM.
email target.user.email_addresses Kolom log mentah "email" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
email2 target.user.email_addresses Kolom log mentah "email2" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.
peran target.user.attribute.roles.name Kolom log mentah "role" (diekstrak dari kolom "operation_detail") dipetakan ke kolom UDM ini.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.