Raccogliere i log delle operazioni di Zoom

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log delle operazioni di Zoom in Google Security Operations utilizzando Google Cloud Storage. Il parser trasforma i log non elaborati in un modello di dati unificato (UDM). Estrae i campi dal messaggio di log non elaborato, esegue la pulizia e la normalizzazione dei dati e mappa le informazioni estratte nei campi UDM corrispondenti, arricchendo in definitiva i dati per l'analisi e la correlazione all'interno di un sistema SIEM.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare funzioni Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso privilegiato a Zoom

Prerequisiti per la raccolta dei log delle operazioni di Zoom

Accedi a Zoom App Marketplace.
Vai a Sviluppa > Crea app > OAuth da server a server.
Crea l'app e aggiungi il seguente ambito: report:read:operation_logs:admin (o report:read:admin).
In Credenziali app, copia e salva i seguenti dettagli in una posizione sicura:
- ID account
- ID client
- Client secret
Nota: l'accesso agli ambiti report:read:admin e report:read:operation_logs:admin in un'app OAuth da server a server può dipendere dalle autorizzazioni a livello di account e di ruolo. Se questi ambiti non sono selezionabili, consulta la documentazione relativa ai ruoli/ambiti di Zoom o contatta l'assistenza.

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

Accedi al tuo account Zoom.
Vai ad Amministrazione > Gestione account > Profilo account.
Se riesci ad accedere alle impostazioni dell'account e a visualizzare i log delle operazioni, disponi delle autorizzazioni necessarie.
Se non riesci ad accedere a queste opzioni, contatta l'amministratore di Zoom per concedere le autorizzazioni necessarie.

Testare l'accesso API

Verifica le tue credenziali prima di procedere con l'integrazione:

# Replace with your actual credentials
ZOOM_ACCOUNT_ID="<your-account-id>"
ZOOM_CLIENT_ID="<your-client-id>"
ZOOM_CLIENT_SECRET="<your-client-secret>"

# Get OAuth token
TOKEN=$(curl -s -X POST "https://zoom.us/oauth/token?grant_type=account_credentials&account_id=${ZOOM_ACCOUNT_ID}" \
  -u "${ZOOM_CLIENT_ID}:${ZOOM_CLIENT_SECRET}" \
  | grep -o '"access_token":"[^"]*"' | cut -d'"' -f4)

# Test API access
curl -v -H "Authorization: Bearer ${TOKEN}" \
  "https://api.zoom.us/v2/report/operationlogs?from=$(date -u -d '1 day ago' +%Y-%m-%d)&to=$(date -u +%Y-%m-%d)&page_size=10"

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `zoom-operation-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci zoom-operationlogs-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect Zoom operation logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (ad esempio zoom-operation-logs).
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. zoom-operationlogs-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci zoom-operationlogs-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Zoom e scriverli in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`zoom-operationlogs-to-gcs`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli zoom-operationlogs-trigger.
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestisce automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account (Service account): seleziona zoom-operationlogs-sa.

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio
`GCS_BUCKET`	`zoom-operation-logs`
`GCS_PREFIX`	`zoom/operationlogs/`
`STATE_KEY`	`zoom/operationlogs/state.json`
`ZOOM_ACCOUNT_ID`	`<your-zoom-account-id>`
`ZOOM_CLIENT_ID`	`<your-zoom-client-id>`
`ZOOM_CLIENT_SECRET`	`<your-zoom-client-secret>`
`PAGE_SIZE`	`300`
`TIMEOUT`	`30`

Nella sezione Variabili e secret, scorri fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main in Entry point della funzione

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, date, timedelta, timezone
import base64
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'zoom/operationlogs/')
STATE_KEY = os.environ.get('STATE_KEY', 'zoom/operationlogs/state.json')
ZOOM_ACCOUNT_ID = os.environ.get('ZOOM_ACCOUNT_ID')
ZOOM_CLIENT_ID = os.environ.get('ZOOM_CLIENT_ID')
ZOOM_CLIENT_SECRET = os.environ.get('ZOOM_CLIENT_SECRET')
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '300'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

TOKEN_URL = "https://zoom.us/oauth/token"
REPORT_URL = "https://api.zoom.us/v2/report/operationlogs"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Zoom operation logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, ZOOM_ACCOUNT_ID, ZOOM_CLIENT_ID, ZOOM_CLIENT_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        bucket = storage_client.bucket(GCS_BUCKET)

        # Get OAuth token
        token = get_token()

        # Load state
        state = load_state(bucket, STATE_KEY)
        cursor_date = state.get('cursor_date', date.today().isoformat())

        print(f'Processing logs for date: {cursor_date}')

        # Fetch logs
        from_date = cursor_date
        to_date = cursor_date
        total_written = 0
        next_token = state.get('next_page_token')

        while True:
            page = fetch_page(token, from_date, to_date, next_token)
            items = page.get('operation_logs', []) or []

            if items:
                write_chunk(bucket, items, datetime.now(timezone.utc))
                total_written += len(items)

            next_token = page.get('next_page_token')
            if not next_token:
                break

        # Advance to next day if we've finished this date
        today = date.today().isoformat()
        if cursor_date < today:
            nxt = (datetime.fromisoformat(cursor_date) + timedelta(days=1)).date().isoformat()
            state['cursor_date'] = nxt
            state['next_page_token'] = None
        else:
            # stay on today; continue later with next_page_token=None
            state['next_page_token'] = None

        save_state(bucket, STATE_KEY, state)

        print(f'Successfully processed {total_written} logs for {from_date}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token():
    """Get OAuth 2.0 access token from Zoom."""
    params = f"grant_type=account_credentials&account_id={ZOOM_ACCOUNT_ID}"
    basic = base64.b64encode(f"{ZOOM_CLIENT_ID}:{ZOOM_CLIENT_SECRET}".encode('utf-8')).decode('utf-8')

    headers = {
        'Authorization': f'Basic {basic}',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Accept': 'application/json',
        'Host': 'zoom.us'
    }

    response = http.request(
        'POST',
        TOKEN_URL,
        body=params,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'Token request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to get OAuth token: {response.status}')

    body = json.loads(response.data.decode('utf-8'))
    return body['access_token']

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')

    # Initial state: start today
    today = date.today().isoformat()
    return {'cursor_date': today, 'next_page_token': None}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        state['updated_at'] = datetime.now(timezone.utc).isoformat()
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def write_chunk(bucket, items, ts):
    """Write log chunk to GCS."""
    key = f"{GCS_PREFIX}{ts:%Y/%m/%d}/zoom-operationlogs-{uuid.uuid4()}.json.gz"

    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for rec in items:
            gz.write((json.dumps(rec) + '\n').encode('utf-8'))

    buf.seek(0)
    blob = bucket.blob(key)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Wrote {len(items)} logs to {key}')
    return key

def fetch_page(token, from_date, to_date, next_page_token):
    """Fetch a page of logs from Zoom API."""
    params = {
        'from': from_date,
        'to': to_date,
        'page_size': str(PAGE_SIZE)
    }

    if next_page_token:
        params['next_page_token'] = next_page_token

    # Build query string
    query_string = '&'.join([f"{k}={v}" for k, v in params.items()])
    url = f"{REPORT_URL}?{query_string}"

    headers = {
        'Authorization': f'Bearer {token}',
        'Accept': 'application/json'
    }

    response = http.request(
        'GET',
        url,
        headers=headers,
        timeout=TIMEOUT
    )

    if response.status != 200:
        print(f'API request failed: {response.status}')
        response_text = response.data.decode('utf-8')
        print(f'Response body: {response_text}')
        raise Exception(f'Failed to fetch logs: {response.status}')

    return json.loads(response.data.decode('utf-8'))

Secondo file: requirements.txt::

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie. La funzione utilizza il pattern di paginazione standard di Zoom con next_page_token, che scade dopo un breve periodo (in genere 15 minuti), quindi i job devono essere eseguiti con una frequenza sufficiente per evitare problemi di scadenza del token.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`zoom-operationlogs-schedule-15min`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`/15 * * *` (ogni 15 minuti)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona `zoom-operationlogs-trigger`
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	`/5 * * *`	Volume elevato, bassa latenza
Ogni 15 minuti	`/15 * * *`	Standard (consigliato)
Ogni ora	`0 * * * *`	Volume basso
Ogni 6 ore	`0 /6 * *`	Elaborazione dei dati in modalità batch

Testare l'integrazione

Nella console Cloud Scheduler, trova il tuo job (ad esempio zoom-operationlogs-schedule-15min).
Fai clic su Forza esecuzione per attivare il job manualmente.
Aspetta alcuni secondi.
Vai a Cloud Run > Servizi.
Fai clic sul nome della funzione (zoom-operationlogs-to-gcs).
Fai clic sulla scheda Log.

Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

Processing logs for date: YYYY-MM-DD
Page 1: Retrieved X events
Wrote X records to zoom/operationlogs/YYYY/MM/DD/zoom-operationlogs-UUID.json.gz
Successfully processed X logs for YYYY-MM-DD

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (zoom-operation-logs).
Vai alla cartella del prefisso (zoom/operationlogs/).
Verifica che sia stato creato un nuovo file .json.gz con il timestamp corrente.

Se visualizzi errori nei log:

HTTP 401: controlla le credenziali dell'API Zoom nelle variabili di ambiente
HTTP 403: verifica che l'app Zoom abbia l'ambito report:read:operation_logs:admin
Variabili di ambiente mancanti: verifica che tutte le variabili richieste siano impostate nella configurazione della funzione Cloud Run

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Zoom Operation Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Log delle operazioni di zoom come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket (ad esempio zoom-operation-logs).
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Configura un feed in Google SecOps per importare i log delle operazioni di Zoom

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Zoom Operation Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Log delle operazioni di zoom come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://zoom-operation-logs/zoom/operationlogs/
```
  - Sostituisci:
    - zoom-operation-logs: il nome del bucket GCS.
    - zoom/operationlogs/: il percorso del prefisso in cui vengono archiviati i log.
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
  Nota: se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
azione	metadata.product_event_type	Il campo del log non elaborato "action" è mappato a questo campo UDM.
category_type	additional.fields.key	Il campo del log non elaborato "category_type" è mappato a questo campo UDM.
category_type	additional.fields.value.string_value	Il campo del log non elaborato "category_type" è mappato a questo campo UDM.
Dipartimento	target.user.department	Il campo del log non elaborato "Department" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Descrizione	target.user.role_description	Il campo del log non elaborato "Description" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Nome visualizzato	target.user.user_display_name	Il campo del log non elaborato "Display Name" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Indirizzo email	target.user.email_addresses	Il campo del log non elaborato "Indirizzo email" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Nome	target.user.first_name	Il campo del log non elaborato "Nome" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Qualifica	target.user.title	Il campo del log non elaborato "Job Title" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Cognome	target.user.last_name	Il campo del log non elaborato "Last Name" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Località	target.location.name	Il campo del log non elaborato "Location" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
operation_detail	metadata.description	Il campo del log non elaborato "operation_detail" è mappato a questo campo UDM.
operatore	principal.user.email_addresses	Il campo del log non elaborato "operator" viene mappato a questo campo UDM se corrisponde a un'espressione regolare email.
operatore	principal.user.userid	Il campo del log non elaborato "operator" viene mappato a questo campo UDM se non corrisponde a un'espressione regolare email.
Nome stanza	target.user.attribute.labels.value	Il campo del log non elaborato "Room Name" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Nome ruolo	target.user.attribute.roles.name	Il campo dei log non elaborati "Role Name" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
tempo	metadata.event_timestamp.seconds	Il campo log non elaborato "time" viene analizzato e mappato a questo campo UDM.
Tipo	target.user.attribute.labels.value	Il campo del log non elaborato "Type" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Ruolo utente	target.user.attribute.roles.name	Il campo del log non elaborato "Ruolo utente" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
Tipo di utente	target.user.attribute.labels.value	Il campo del log non elaborato "Tipo utente" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
	metadata.log_type	A questo campo UDM viene assegnato il valore "ZOOM_OPERATION_LOGS".
	metadata.vendor_name	A questo campo UDM è assegnato il valore "ZOOM".
	metadata.product_name	A questo campo UDM viene assegnato il valore "ZOOM_OPERATION_LOGS".
	metadata.event_type	Il valore viene determinato in base alla seguente logica: 1. Se il campo "event_type" non è vuoto, viene utilizzato il suo valore. 1. Se i campi "operator", "email" o "email2" non sono vuoti, il valore viene impostato su "USER_UNCATEGORIZED". 1. In caso contrario, il valore viene impostato su "GENERIC_EVENT".
json_data	about.user.attribute.labels.value	Il campo del log non elaborato "json_data" (estratto dal campo "operation_detail") viene analizzato come JSON. I campi "assistant" e "options" di ogni elemento dell'array JSON analizzato vengono mappati al campo "value" dell'array "labels" nell'UDM.
json_data	about.user.userid	Il campo del log non elaborato "json_data" (estratto dal campo "operation_detail") viene analizzato come JSON. Il campo "userId" di ogni elemento dell'array JSON analizzato (tranne il primo) viene mappato al campo "userid" dell'oggetto "about.user" in UDM.
json_data	target.user.attribute.labels.value	Il campo del log non elaborato "json_data" (estratto dal campo "operation_detail") viene analizzato come JSON. I campi "assistant" e "options" del primo elemento dell'array JSON analizzato vengono mappati al campo "value" dell'array "labels" nell'UDM.
json_data	target.user.userid	Il campo del log non elaborato "json_data" (estratto dal campo "operation_detail") viene analizzato come JSON. Il campo "userId" del primo elemento dell'array JSON analizzato viene mappato al campo "userid" dell'oggetto "target.user" in UDM.
email	target.user.email_addresses	Il campo dei log non elaborati "email" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
email2	target.user.email_addresses	Il campo log non elaborato "email2" (estratto dal campo "operation_detail") è mappato a questo campo UDM.
ruolo	target.user.attribute.roles.name	Il campo del log non elaborato "role" (estratto dal campo "operation_detail") è mappato a questo campo UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.