VMware Aria Suite(以前の VMware vRealize Suite)のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このガイドでは、Bindplane を使用して VMware Aria Suite(旧称 VMware vRealize Suite)のログを Google Security Operations に取り込む方法について説明します。
VMware Aria Suite(以前の VMware vRealize Suite。現在は VMware Cloud Foundation と vSphere Foundation の一部として提供)は、ハイブリッド クラウド環境とマルチクラウド環境の運用管理、自動化、ログ分析、ネットワークの可視性を提供するクラウド管理プラットフォームです。パーサーは、msg_type フィールドに基づいて grok パターンを使用して syslog メッセージからフィールドを抽出し、統合データモデル(UDM)にマッピングして、ネットワーク情報、ユーザーの詳細、リソース属性でデータを拡充します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと VMware Aria Suite 環境間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します
- VMware Aria Operations(または VMware Aria Suite)への管理者権限
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
取り込み認証ファイル をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "[https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi](https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi)" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collector
サービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL [https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh](https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh))" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collector
サービスが [アクティブ(実行中)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを探す
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/vmware_vrealize: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: VMWARE_VREALIZE raw_log_field: body service: pipelines: logs/vmware_vrealize_to_chronicle: receivers: - udplog exporters: - chronicle/vmware_vrealize
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux で root が必要です。root 以外のユーザーは1514を使用します)。
- すべてのインターフェースでリッスンする
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル> 保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
VMware Aria Operations で Syslog 転送を構成する
- VMware Aria Operations ウェブ UI にログインします。
- [Administration] > [Management] > [Outbound Settings] に移動します。
- [追加] をクリックします。
- [Plugin Type] プルダウンで、[Syslog] を選択します。
次の構成情報を提供してください。
- インスタンス名: syslog の宛先を識別するための一意の名前を入力します(例:
Chronicle-Bindplane)。 - ノード: Bindplane エージェント ホストの IP アドレス(
192.168.1.100など)を入力します。 - ポート: 「
514」と入力します。 - Protocol: [UDP] を選択します。
- インスタンス名: syslog の宛先を識別するための一意の名前を入力します(例:
[テスト] をクリックして、Bindplane エージェントへの接続を確認します。
[保存] をクリックして、アウトバウンド syslog の設定を適用します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
actorDomain |
principal.hostname |
未加工ログの actorDomain の値が UDM フィールドにマッピングされます。 |
actorId |
principal.resource.attribute.labels.key |
文字列「actorId」がキーに割り当てられます。 |
actorId |
principal.resource.attribute.labels.value |
未加工ログの actorId の値が値に割り当てられます。 |
actorId |
additional.fields.key |
文字列「actorId」がキーに割り当てられます。 |
actorId |
additional.fields.value.string_value |
未加工ログの actorId の値が値に割り当てられます。 |
actorUserName |
principal.user.userid |
未加工ログの actorUserName の値は、UDM フィールドにマッピングされます。 |
actorUuid |
principal.resource.attribute.labels.key |
文字列「actorUuid」がキーに割り当てられます。 |
actorUuid |
principal.resource.attribute.labels.value |
未加工ログの actorUuid の値が値に割り当てられます。 |
actorUuid |
additional.fields.key |
文字列「actorUuid」がキーに割り当てられます。 |
actorUuid |
additional.fields.value.string_value |
未加工ログの actorUuid の値が値に割り当てられます。 |
all_request_headers.sec-ch-ua-platform |
principal.platform |
値は all_request_headers.sec-ch-ua-platform から取得されます。「win」または「windows」が含まれている場合(大文字と小文字を区別しない)、値は「WINDOWS」になります。「Mac」が含まれている場合(大文字と小文字を区別しない)、値は「MAC」になります。「lin」または「linux」が含まれている場合(大文字と小文字を区別しない)、値は「LINUX」になります。 |
all_request_headers.X-Requested-With |
network.application_protocol |
値に「http」が含まれている場合(大文字と小文字を区別しない)、値は「HTTP」に設定されます。 |
automation_tag |
metadata.product_event_type |
未加工ログの automation_tag の値は、UDM フィールドにマッピングされます。 |
client_ip |
principal.ip |
未加工ログの client_ip の値は、UDM フィールドにマッピングされます。 |
client_src_port |
principal.port |
未加工ログの client_src_port の値は、UDM フィールドにマッピングされます。 |
comp |
about.resource.attribute.labels.key |
キーには文字列「Component」が割り当てられます。 |
comp |
about.resource.attribute.labels.value |
未加工ログの comp の値が value に割り当てられます。 |
compression |
additional.fields.key |
文字列「compression」がキーに割り当てられます。 |
compression |
additional.fields.value.string_value |
未加工ログの圧縮の値が値に割り当てられます。 |
data |
about.resource.attribute.labels.key |
ロジックは msg_type によって異なります。msg_type が「Vpxa」、「Hostd」、「VSANMGMTSVC」の場合、データ フィールドは Key-Value ペアを使用して解析され、特定のキー(opID、sub など)が about.resource.attribute.labels にマッピングされます。msg_type が「SWITCHING」、「FABRIC」、「MONITORING」、「SYSTEM」、「ROUTING」、「LOAD」、「nsx」、「nestdb」、「cfgAgent」、「NSX」、「NSXV」の場合、データ フィールドは comp、subcomp、s2comp などのキーで解析され、about.resource.attribute.labels にマッピングされます。 |
data |
about.resource.attribute.labels.value |
about.resource.attribute.labels.key のロジックをご覧ください。 |
data |
security_result.description |
msg_type が「Vpxa」、「Hostd」、「VSANMGMTSVC」の場合、キーと値のペアのデータを解析した後に msg フィールドが存在すると、その値が security_result.description に割り当てられます。 |
description |
security_result.description |
未加工ログに説明フィールドが存在する場合、その値は UDM フィールドにマッピングされます。 |
deviceId |
principal.resource.attribute.labels.key |
文字列「deviceType」がキーに割り当てられます。 |
deviceId |
principal.resource.attribute.labels.value |
未加工ログの values.deviceType の値が value に割り当てられます。 |
deviceId |
additional.fields.key |
文字列「deviceType」がキーに割り当てられます。 |
deviceId |
additional.fields.value.string_value |
未加工ログの values.deviceType の値が value に割り当てられます。 |
direction |
network.direction |
値が「OUT」の場合、「OUTBOUND」にマッピングされます。「IN」の場合は「INBOUND」にマッピングされます。 |
dst_ip |
target.ip |
未加工ログの dst_ip の値は、UDM フィールドにマッピングされます。 |
dst_port |
target.port |
未加工ログの dst_port の値は、UDM フィールドにマッピングされます。 |
event_source |
principal.url |
未加工ログの event_source の値は、UDM フィールドにマッピングされます。 |
headers_received_from_server.Access-Control-Allow-Origin |
target.resource.attribute.labels.key |
文字列「headers_received_from_server.Access-Control-Allow-Origin」がキーに割り当てられます。 |
headers_received_from_server.Access-Control-Allow-Origin |
target.resource.attribute.labels.value |
未加工ログの headers_received_from_server.Access-Control-Allow-Origin の値が value に割り当てられます。 |
headers_received_from_server.Content-Security-Policy |
principal.resource.attribute.labels.key |
文字列「headers_received_from_server.Content-Security-Policy」がキーに割り当てられます。 |
headers_received_from_server.Content-Security-Policy |
principal.resource.attribute.labels.value |
未加工ログの headers_received_from_server.Content-Security-Policy の値が value に割り当てられます。 |
headers_received_from_server.Cookie |
target.resource.attribute.labels.key |
文字列「headers_received_from_server.Cookie」がキーに割り当てられます。 |
headers_received_from_server.Cookie |
target.resource.attribute.labels.value |
未加工ログの headers_sent_to_server.Cookie の値が value に割り当てられます。 |
headers_received_from_server.set-cookie |
target.resource.attribute.labels.key |
文字列「headers_received_from_server.set-cookie」がキーに割り当てられます。 |
headers_received_from_server.set-cookie |
target.resource.attribute.labels.value |
未加工ログの headers_received_from_server.set-cookie の値が value に割り当てられます。 |
headers_sent_to_server.sec-ch-ua |
principal.resource.attribute.labels.key |
文字列「headers_sent_to_server.sec-ch-ua」がキーに割り当てられます。 |
headers_sent_to_server.sec-ch-ua |
principal.resource.attribute.labels.value |
未加工ログの headers_sent_to_server.sec-ch-ua の値が value に割り当てられます。 |
headers_sent_to_server.X-CSRF-TOKEN |
principal.resource.attribute.labels.key |
文字列「headers_sent_to_server.X-CSRF-TOKEN」がキーに割り当てられます。 |
headers_sent_to_server.X-CSRF-TOKEN |
principal.resource.attribute.labels.value |
未加工ログの headers_sent_to_server.X-CSRF-TOKEN の値が value に割り当てられます。 |
hostname |
principal.hostname |
未加工ログのホスト名の値は、UDM フィールドにマッピングされます。 |
hostname |
intermediary.hostname |
未加工ログのホスト名の値は、UDM フィールドにマッピングされます。 |
host |
principal.hostname |
未加工ログのホストの値が UDM フィールドにマッピングされます。 |
isLocal |
additional.fields.key |
文字列「isLocal」がキーに割り当てられます。 |
isLocal |
additional.fields.value.string_value |
未加工ログの isLocal の値が値に割り当てられます。 |
json_data |
Various fields within principal, target, additional, and security_result |
未加工ログの json_data フィールドは JSON として解析され、抽出されたフィールドは、名前とパーサーのロジックに基づいてさまざまな UDM フィールドにマッピングされます。これには、uuid、tenantId、actorId、actorUserName、actorDomain、sourceIp、objectName、objectType、objectId、values.resourceType、values.success などのフィールドが含まれます。 |
kv_data |
Various fields |
kv_data フィールドは Key-Value ペアとして解析され、抽出されたフィールドは、名前とパーサーのロジックに基づいてさまざまな UDM フィールドにマッピングされます。 |
level |
security_result.severity |
値が「info」の場合(大文字と小文字を区別しない)、「INFORMATIONAL」にマッピングされます。 |
log_id |
metadata.product_log_id |
未加工ログの log_id の値は、UDM フィールドにマッピングされます。 |
message |
Various fields |
メッセージ フィールドはデータの主なソースであり、grok パターンを使用して広範に解析され、ts、hostname、msg_type、sub_msg などのさまざまなフィールドが抽出されます。抽出されたフィールドは、パーサーのロジックに基づいてさまざまな UDM フィールドに入力されます。 |
method |
network.http.method |
未加工ログのメソッドの値が UDM フィールドにマッピングされます。 |
msg |
security_result.description |
msg_type が「Vpxa」、「Hostd」、「VSANMGMTSVC」、「SWITCHING」、「FABRIC」、「ROUTING」、「LOAD-BALANCER」、「nsx」、「nestdb」、「cfgAgent」、「NSX」、「NSXV」、「Rhttpproxy」のいずれかで、関連する grok 解析の後に msg フィールドが存在する場合、その値は security_result.description に割り当てられます。このロジックには、「keepalive connection」などの特定のメッセージ コンテンツに関する特殊なケースがあります。 |
msg_type |
metadata.product_event_type |
msg_type が「FIREWALL_PKTLOG」または「FIREWALL-PKTLOG」の場合、その値は UDM フィールドにマッピングされます。 |
objectName |
target.resource.attribute.labels.key |
文字列「objectName」がキーに割り当てられます。 |
objectName |
target.resource.attribute.labels.value |
未加工ログの objectName の値が value に割り当てられます。 |
objectName |
additional.fields.key |
文字列「objectName」がキーに割り当てられます。 |
objectName |
additional.fields.value.string_value |
未加工ログの objectName の値が value に割り当てられます。 |
objectId |
target.resource.attribute.labels.key |
文字列「objectId」がキーに割り当てられます。 |
objectId |
target.resource.attribute.labels.value |
未加工ログの objectId の値が value に割り当てられます。 |
objectId |
additional.fields.key |
文字列「objectId」がキーに割り当てられます。 |
objectId |
additional.fields.value.string_value |
未加工ログの objectId の値が value に割り当てられます。 |
objectType |
target.resource.attribute.labels.key |
文字列「objectType」がキーに割り当てられます。 |
objectType |
target.resource.attribute.labels.value |
未加工ログの objectType の値が value に割り当てられます。 |
objectType |
additional.fields.key |
文字列「objectType」がキーに割り当てられます。 |
objectType |
additional.fields.value.string_value |
未加工ログの objectType の値が value に割り当てられます。 |
objectType |
security_result.description |
objectType が「LAUNCH」で、success が「true」でない場合、説明は「application launch attempt was successful」になります。objectType が「LAUNCH_ERROR」で、success が「true」でない場合、説明は「User launched an application with an invalid request」になります。 |
opID |
about.resource.attribute.labels.key |
文字列「opId」がキーに割り当てられます。 |
opID |
about.resource.attribute.labels.value |
未加工ログの opID の値が値に割り当てられます。 |
pool |
additional.fields.key |
文字列「pool」がキーに割り当てられます。 |
pool |
additional.fields.value.string_value |
未加工ログのプールの値が値に割り当てられます。 |
pool_name |
additional.fields.key |
文字列「pool_name」がキーに割り当てられます。 |
pool_name |
additional.fields.value.string_value |
未加工ログの pool_name の値が値に割り当てられます。 |
protocol |
network.ip_protocol |
未加工ログのプロトコルの値は大文字に変換され、UDM フィールドにマッピングされます。値が「PROTO」の場合、マッピングされません。 |
protocol |
additional.fields.key |
プロトコルの値が「PROTO」の場合、文字列「ip_protocol」がキーに割り当てられます。 |
protocol |
additional.fields.value.string_value |
プロトコルの値が「PROTO」の場合、未加工ログのプロトコルの値が値に割り当てられます。 |
query_data |
network.dns.questions.name |
query_data フィールドが解析され、question_name が抽出されて UDM フィールドにマッピングされます。 |
query_data |
network.dns.questions.type |
query_data フィールドが解析されて query_type が抽出され、「dns_record_type.include」から含まれるルックアップを使用して UDM フィールドにマッピングされます。 |
query_data |
network.dns.questions.class |
query_data フィールドが解析され、dns_class が抽出されます。次に、「dns_query_class_mapping.include」から含まれるルックアップを使用して、UDM フィールドにマッピングされます。 |
referer |
principal.url |
未加工ログのリファラーの値が UDM フィールドにマッピングされます。 |
request_content_type |
additional.fields.key |
文字列「request_content_type」がキーに割り当てられます。 |
request_content_type |
additional.fields.value.string_value |
未加工ログの request_content_type の値が値に割り当てられます。 |
request_state |
additional.fields.key |
文字列「request_state」がキーに割り当てられます。 |
request_state |
additional.fields.value.string_value |
未加工ログの request_state の値が value に割り当てられます。 |
response_code |
network.http.response_code |
未加工ログの response_code または server_response_code の値は、UDM フィールドにマッピングされます。 |
response_content_type |
additional.fields.key |
文字列「request_content_type」がキーに割り当てられます。 |
response_content_type |
additional.fields.value.string_value |
未加工ログの response_content_type の値が値に割り当てられます。 |
rule_id |
security_result.rule_id |
未加工ログの rule_id の値は、UDM フィールドにマッピングされます。 |
s2comp |
about.resource.attribute.labels.key |
文字列「S2-Component」がキーに割り当てられます。 |
s2comp |
about.resource.attribute.labels.value |
未加工ログの s2comp の値が値に割り当てられます。 |
server_ip |
target.ip |
未加工ログの server_ip の値は、UDM フィールドにマッピングされます。 |
server_name |
target.hostname |
未加工ログの server_name の値は、UDM フィールドにマッピングされます。 |
server_response_code |
network.http.response_code |
response_code のロジックをご覧ください。 |
server_src_port |
target.port |
未加工ログの server_src_port の値は、UDM フィールドにマッピングされます。 |
service_engine |
additional.fields.key |
キーには文字列「service_engine」が割り当てられます。 |
service_engine |
additional.fields.value.string_value |
未加工ログの service_engine の値が value に割り当てられます。 |
sourceIp |
principal.ip |
未加工ログの sourceIp の値が UDM フィールドにマッピングされます。 |
ssl_cipher |
network.tls.cipher |
未加工ログの ssl_cipher の値は、UDM フィールドにマッピングされます。 |
ssl_session_id |
network.session_id |
未加工ログの ssl_session_id の値は、UDM フィールドにマッピングされます。 |
ssl_version |
network.tls.version_protocol |
未加工ログの ssl_version の値は、UDM フィールドにマッピングされます。 |
sub |
about.resource.attribute.labels.key |
キーには文字列「Sub Component」が割り当てられます。 |
sub |
about.resource.attribute.labels.value |
未加工ログの sub の値が value に割り当てられます。 |
subClusterUuid |
additional.fields.key |
文字列「subClusterUuid」がキーに割り当てられます。 |
subClusterUuid |
additional.fields.value.string_value |
未加工ログの subClusterUuid の値が値に割り当てられます。 |
sub_msg |
Various fields within principal, target, network, security_result, and about |
sub_msg フィールドは、msg_type に基づいて異なる方法で解析されます。JSON、grok パターン、Key-Value ペアを使用して解析できます。抽出されたフィールドは、名前とパーサーのロジックに基づいて、さまざまな UDM フィールドにマッピングされます。これには、ip_type、action、rule_id、direction、protocol、tcp_flag、src_ip、src_port、dst_ip、dst_port、data、msg などのフィールドが含まれます。 |
subcomp |
about.resource.attribute.labels.key |
キーには文字列「Sub Component」が割り当てられます。 |
subcomp |
about.resource.attribute.labels.value |
未加工ログの subcomp の値が value に割り当てられます。 |
tenantId |
principal.resource.attribute.labels.key |
文字列「tenantId」がキーに割り当てられます。 |
tenantId |
principal.resource.attribute.labels.value |
未加工ログの tenantId の値が値に割り当てられます。 |
tenantId |
additional.fields.key |
文字列「tenantId」がキーに割り当てられます。 |
tenantId |
additional.fields.value.string_value |
未加工ログの tenantId の値が値に割り当てられます。 |
ts |
metadata.event_timestamp |
未加工ログの ts の値はタイムスタンプとして解析され、UDM フィールドにマッピングされます。 |
ts |
timestamp |
未加工ログの ts の値はタイムスタンプとして解析され、UDM フィールドにマッピングされます。 |
updateType |
additional.fields.key |
文字列「updateType」がキーに割り当てられます。 |
updateType |
additional.fields.value.string_value |
未加工ログの updateType の値が値に割り当てられます。 |
uri_path |
network.http.referral_url |
未加工ログの uri_path の値は、UDM フィールドにマッピングされます。 |
user_agent |
network.http.user_agent |
未加工ログの user_agent の値は、UDM フィールドにマッピングされます。 |
user_agent |
network.http.parsed_user_agent |
未加工ログの user_agent の値はユーザー エージェント文字列として解析され、UDM フィールドにマッピングされます。 |
USER |
principal.user.user_display_name |
未加工ログの USER の値は、UDM フィールドにマッピングされます。 |
values.actorExternalId |
principal.resource.attribute.labels.key |
文字列「actorExternalId」がキーに割り当てられます。 |
values.actorExternalId |
principal.resource.attribute.labels.value |
未加工ログの values.actorExternalId の値が value に割り当てられます。 |
values.actorExternalId |
additional.fields.key |
文字列「actorExternalId」がキーに割り当てられます。 |
values.actorExternalId |
additional.fields.value.string_value |
未加工ログの values.actorExternalId の値が value に割り当てられます。 |
values.deviceType |
principal.resource.attribute.labels.key |
文字列「deviceType」がキーに割り当てられます。 |
values.deviceType |
principal.resource.attribute.labels.value |
未加工ログの values.deviceType の値が value に割り当てられます。 |
values.deviceType |
additional.fields.key |
文字列「deviceType」がキーに割り当てられます。 |
values.deviceType |
additional.fields.value.string_value |
未加工ログの values.deviceType の値が value に割り当てられます。 |
values.resourceType |
principal.resource.resource_subtype |
未加工ログの values.resourceType の値は、UDM フィールドにマッピングされます。principal.resource.type が「VIRTUAL_MACHINE」に設定されます。 |
values.success |
security_result.action |
値が「true」の場合(大文字と小文字を区別しない)、値は「ALLOW」にマッピングされます。「false」の場合(大文字と小文字を区別しない)、「BLOCK」にマッピングされます。 |
virtualservice |
additional.fields.key |
文字列「virtualservice」がキーに割り当てられます。 |
virtualservice |
`additional.fields.value.string_value" | 未加工ログの virtualservice の値が value に割り当てられます。 |
vmw_vr_ops_appname |
about.resource.attribute.labels.key |
文字列「Ops AppName」がキーに割り当てられます。 |
vmw_vr_ops_appname |
about.resource.attribute.labels.value |
未加工ログの vmw_vr_ops_appname の値が value に割り当てられます。 |
vmw_vr_ops_clustername |
about.resource.attribute.labels.key |
文字列「Ops ClusterName」がキーに割り当てられます。 |
vmw_vr_ops_clustername |
about.resource.attribute.labels.value |
未加工ログの vmw_vr_ops_clustername の値が value に割り当てられます。 |
vmw_vr_ops_logtype |
about.resource.attribute.labels.key |
キーには文字列「Ops Logtype」が割り当てられます。 |
| `vmw_vr_ops_logtype" | about.resource.attribute.labels.value |
未加工ログの vmw_vr_ops_logtype の値が value に割り当てられます。 |
vmw_vr_ops_nodename |
about.resource.attribute.labels.key |
文字列「Ops NodeName」がキーに割り当てられます。 |
vmw_vr_ops_nodename |
about.resource.attribute.labels.value |
未加工ログの vmw_vr_ops_nodename の値が value に割り当てられます。 |
vs_name |
additional.fields.key |
文字列「vs_name」がキーに割り当てられます。 |
vs_name |
additional.fields.value.string_value |
未加工ログの vs_name の値が値に割り当てられます。 |
etag |
event.idm.read_only_udm.target.resource.attribute.labels |
変更履歴からマッピング |
request_length |
event.idm.read_only_udm.network.sent_bytes |
変更履歴からマッピング |
server_response_length |
event.idm.read_only_udm.network.received_bytes |
変更履歴からマッピング |
server_conn_src_ip |
event.idm.read_only_udm.intermediary.ip |
変更履歴からマッピング |
vs_ip |
event.idm.read_only_udm.intermediary.ip |
変更履歴からマッピング |
persistent_session_id |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
client_rtt |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
server_response_time_first_byte |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
server_response_time_last_byte |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
response_length |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
response_time_first_byte |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
response_time_last_byte |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
compression_percentage |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
client_insights |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
request_headers |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
server_ssl_session_id |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
server_connection_reused |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
response_headers |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
request_id |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
servers_tried |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
jwt_log |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
max_ingress_latency_fe |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
conn_est_time_fe |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
max_ingress_latency_be |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
conn_est_time_be |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
isLocal", "updateType", "subClusterUuid", "valueLength |
event.idm.read_only_udm.additional.fields |
変更履歴からマッピング |
変更履歴
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。