收集 VMware Airwatch 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 VMware Airwatch (VMware Workspace ONE UEM) 記錄檔擷取至 Google Security Operations。剖析器會從各種格式 (SYSLOG + KV、CEF) 的記錄檔中擷取安全事件資料。系統會先嘗試使用一系列適用於 AirWatch 記錄結構的 Grok 模式剖析記錄訊息,然後從事件資料中擷取鍵/值對,並將其對應至 Unified Data Model (UDM) 欄位,分類事件並加入情境資訊,以利進行安全性分析。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟
  • VMware Airwatch 的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'AIRWATCH'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 視基礎架構需求,替換通訊埠和 IP 位址。
    • <customer_id> 替換為實際的客戶 ID。
    • /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

為 VMware Airwatch (VMware Workspace ONE UEM) 設定 Syslog

  1. 登入 VMware AirWatch 網頁版 UI。
  2. 依序前往「監控」>「報告和分析」>「事件」>「系統記錄」
  3. 提供下列設定詳細資料:
    • Syslog Integration:選取「Enabled」
    • 主機名稱:輸入 Bindplane 代理程式 IP 位址。
    • 「通訊協定」:選取「UDP」
    • 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠編號。
    • 訊息標記:輸入「Airwatch」
    • 訊息內容:保留預設值。
  4. 前往「進階」分頁。
  5. 提供下列設定詳細資料:
    • 控制台事件:選取「啟用」
    • 選取要傳送至系統記錄的控制台事件:按一下「全選」
    • 裝置事件:選取「啟用」
    • 選取要傳送至 Syslog 的裝置事件:按一下「全選」
  6. 按一下 [儲存]
  7. 按一下「測試連線」

UDM 對應表

記錄欄位 UDM 對應 邏輯
AdminAccount principal.user.userid 這個值取自原始記錄中的 AdminAccount 欄位。
Application target.application 這個值取自原始記錄中的「應用程式」欄位。
ApplicationUUID additional.fields[].value.string_value 這個值取自原始記錄中的 ApplicationUUID 欄位。索引鍵設為「ApplicationUUID」。
BytesReceived network.received_bytes 這個值取自原始記錄中的 BytesReceived 欄位。
Device target.hostname 這個值取自原始記錄中的「裝置」欄位。
DeviceEventLogDescription metadata.description 這個值取自原始記錄中的 DeviceEventLogDescription 欄位。
Enrollment User principal.user.userid 當 event_name 為下列其中一項時,系統會從原始記錄中的「Enrollment User」欄位取得值:AppCatalogLaunch、InstallApplicationConfirmed、InstallProfileConfirmed、BreakMDMConfirmed、DeviceOperatingSystemChanged、RemoveProfileConfirmed、CertificateIssued、CompromisedStatusChanged、AppListSampleRefused、CertificateListSampleRefused、DeviceInformationRefused、ProfileListRefused、SecurityInformation、SecureChannelCheckIn、SecurityInformationConfirmed、StartACMConfirmed、DeviceAttributeDeviceMCCModified、DeviceAttributePhoneNumberModified、AvailableOSUpdatesList、AvailableOsUpdatesConfirmed。
Event Category additional.fields[].value.string_value 這個值取自原始記錄中的「事件類別」欄位。索引鍵設為「事件類別」。
Event Module additional.fields[].value.string_value 這個值取自原始記錄中的「事件模組」欄位。金鑰設為「Event Module」。
Event Source additional.fields[].value.string_value 這個值取自原始記錄中的「事件來源」欄位。索引鍵設為「事件來源」。
Event Timestamp metadata.event_timestamp.seconds 這個值取自原始記錄中的「事件時間戳記」欄位。
FriendlyName target.hostname 這個值取自原始記錄中的 FriendlyName 欄位。
GroupManagementData security_result.description 這個值取自原始記錄中的 GroupManagementData 欄位。
Hmac additional.fields[].value.string_value 這個值取自原始記錄中的 Hmac 欄位。金鑰設為「Hmac」。
LoginSessionID network.session_id 這個值取自原始記錄中的 LoginSessionID 欄位。
MessageText metadata.description 這個值取自原始記錄中的 MessageText 欄位。
OriginatingOrganizationGroup principal.user.group_identifiers 這個值取自原始記錄中的 OriginatingOrganizationGroup 欄位。
OwnershipType additional.fields[].value.string_value 這個值取自原始記錄中的 OwnershipType 欄位。索引鍵設為「OwnershipType」。
Profile target.resource.name 這個值取自原始記錄中的「設定檔」欄位。
ProfileName target.resource.name 這個值取自原始記錄中的 ProfileName 欄位。
Request Url target.url 這個值取自原始記錄中的「要求網址」欄位。
SmartGroupName target.group.group_display_name 這個值取自原始記錄中的 SmartGroupName 欄位。
Tags additional.fields[].value.string_value 這個值取自原始記錄中的「標記」欄位。索引鍵設為「標記」。
User target.user.userid 如果 event_name 為 SSPUserLoginAttemptFailed,這個值會取自原始記錄中的「使用者」欄位。
event_name metadata.product_event_type 這個值取自原始記錄中的「事件」欄位。
extensions.auth.type 如果 event_name 是 AdminUserLoggedIn、SSPUserLoginAttemptFailed、AdminUserLoggedOut、AuthTokenIssued 或 AuthTokenRevoked,這個值會設為「SSO」。
is_alert 如果 event_name 為 ComplianceStatusChanged、DeviceProfileTypeBlocked 或 ComplianceActionTaken,則值會設為「true」。
is_significant 如果 event_name 為 ComplianceStatusChanged,則值會設為「true」。
is_significant 如果 event_name 為 DeviceProfileTypeBlocked,這個值會設為「false」。
metadata.event_type 如果 event_name 為 SecureChannelCheckIn,此值會設為「GENERIC_EVENT」。
metadata.event_type 如果 event_name 為 ApplicationGroupCreated,此值會設為「GROUP_CREATION」。
metadata.event_type 如果 event_name 為 SmartGroupsDeleted,此值會設為「GROUP_DELETION」。
metadata.event_type 如果 event_name 是 SmartGroupsModified 或 ApplicationGroupAssignmentModified,這個值會設為「GROUP_MODIFICATION」。
metadata.event_type 如果 event_data 欄位包含「session」,且 hash_value 欄位結尾為「org」,則值會設為「NETWORK_CONNECTION」。
metadata.event_type 如果 principal_hostname 或 src_ip 欄位不為空白,且 target_hostname 或 target_ip 欄位不為空白,則值會設為「NETWORK_CONNECTION」。
metadata.event_type 如果 event_name 為「Revoked」,且 event_data 欄位不含「Certificate」,則值會設為「SETTING_DELETION」。
metadata.event_type 如果 event_name 是下列其中之一,此值會設為「SETTING_MODIFICATION」:DeviceAttributeDeviceMCCModified、DeviceAttributePhoneNumberModified、ComplianceStatusChanged、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked。
metadata.event_type 如果 event_name 是下列其中之一,這個值會設為「STATUS_UNCATEGORIZED」:AppListSampleRefused、CertificateListSampleRefused、DeviceInformationRefused、ProfileListRefused、SecurityInformation、StartACMRequested、AvailableOSUpdatesList、AvailableOsUpdatesConfirmed、AvailableOsUpdatesRequested。
metadata.event_type 當 event_name 為 BreakMDMRequested、CertificateIssued、CompromisedStatusChanged、SecureChannelCheckIn 或 EditDevice 時,這個值會設為「STATUS_UPDATE」。
metadata.event_type 如果 event_name 是 AdminUserLoggedOut、AuthTokenIssued 或 AuthTokenRevoked,這個值會設為「USER_LOGOUT」。
metadata.event_type 當 event_name 為 AdminUserLoggedIn 或 SSPUserLoginAttemptFailed 時,這個值會設為「USER_LOGIN」。
metadata.event_type 如果 request_url 欄位不為空白,這個值會設為「USER_RESOURCE_ACCESS」。
metadata.event_type 如果 event_name 為 AppCatalogLaunch,這個值會設為「USER_RESOURCE_ACCESS」。
metadata.event_type 如果 event_name 是 ApplicationDownload、EnrollmentComplete、InstallApplicationConfirmed 或 InstallProfileConfirmed,這個值會設為「USER_RESOURCE_CREATION」。
metadata.event_type 如果 event_name 是 BreakMDMConfirmed 或 RemoveProfileConfirmed,這個值會設為「USER_RESOURCE_DELETION」。
metadata.event_type 當 event_name 為 ProfileModified、ProfilePublished、ProfileSetToInactive、ProfileVersionAdded、RestrictionPayloadModified 或 DeviceOperatingSystemChanged 時,這個值會設為「USER_RESOURCE_UPDATE_CONTENT」。
metadata.event_type 如果 event_name 為 EULAAccepted,這個值會設為「USER_RESOURCE_UPDATE_PERMISSIONS」。
metadata.event_type 如果 event_name 是下列其中之一,這個值會設為「USER_UNCATEGORIZED」:Revoked、ComplianceNotificationSent、DeleteDeviceRequested、DeviceClearPasscodeRequested、DeviceWipeRequested、InstallApplicationRequested、ApplicationInstallOnDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AddMissingUserCompletedEvent、AddMissingUserFailureEvent、ApplicationAdded、ApplicationDeleted、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、SyncGroupCompletedEvent、SyncGroupFailureEvent、SearchMissingUserCompleteEvent、SyncAdminFailure、SyncUserCompletedEvent、SyncUserFailureEvent、UserDeleted、HealthAttestationCertificateRequestConfirmed、WindowsDeviceCheckInMode、SampleResponseListReceived、HealthAttestationCertificateRequested、WindowsInformationConfirmed、RemoteManagement、HealthAttestationServerToServerSyncReqConfirmed、ScepThumbprintSampleConfirmed、HealthAttestationSampleRequestConfirmed、HealthAttestationServerToServerSyncRequested、HealthAttestationServerToServerSyncRequestFailed、WipeRequest、InstallApplicationFailed、OwnershipChanged、WipeConfirmed、FreshDeviceCreatedInDeviceState、UserSetToInactive、ExistingDeviceUpdatedInDeviceState、HealthAttestationCertificateRequestFailed、AppleOsXmdmDeviceTokenUpdate、DeviceUnenrolled、ScheduleOsUpdateResults、UserRoleAssignmentModified、UserModified、AppleTokenUpdateComplete、UserEnrollmentTokenCreated、ScheduleOsUpdatesConfirmed、OsUpdateStatusRequested、InstallProfileConfirmed、TagAssignmentChanged。
metadata.log_type 值設為「AIRWATCH」。
metadata.product_name 值設為「AirWatch」。
metadata.vendor_name 值設為「VMWare」。
network.application_protocol 如果 application_protocol 欄位包含「HTTP」,這個值會設為「HTTP」。
network.http.method 這個值取自原始記錄中的 method_url 欄位。
network.http.referral_url 這個值取自原始記錄中的 referral_url 欄位。
network.http.response_code 這個值取自原始記錄中的 http_status 欄位。
network.http.user_agent 這個值取自原始記錄中的 user_agent 欄位。
network.ip_protocol 如果通訊協定欄位為「TCP」,這個值會設為「TCP」。
network.ip_protocol 如果通訊協定欄位為「UDP」,這個值會設為「UDP」。
principal.administrative_domain 如果 event_name 是下列其中一個值,系統會從原始記錄的網域欄位取得值:SmartGroupsDeleted、SmartGroupsModified、ProfileModified、ProfilePublished、ProfileSetToInactive、DeleteDeviceRequested、DeviceEnterpriseWipeRequested、InstallProfileRequested、RemoveProfileRequested、FindDeviceRequested、InstallApplicationRequested、ApplicationInstallOnDeviceRequested、RemoveApplicationRequested、SendMessageRequested、ApplicationAdded、ApplicationDeleted、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、UserDeleted。
principal.hostname 這個值取自原始記錄中的主機名稱欄位。
principal.ip 如果 event_name 是下列其中一個值,系統會從原始記錄檔的 sys_ip 欄位取得值:AuthTokenIssued、AuthTokenRevoked、BreakMDMRequested、ComplianceNotificationSent、DeleteDeviceRequested、Revoked、ComplianceStatusChanged、CompliancePolicyModified、ProfileModified、ProfilePublished、ProfileSetToInactive、SmartGroupsDeleted、ApplicationDownload、EnrollmentComplete、EULAAccepted、StartACMRequested、DeviceEnterpriseWipeRequested、InstallApplicationRequested、InstallProfileRequested、RemoveProfileRequested、ApplicationInstallOnDeviceRequested、FindDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AvailableOsUpdatesRequested、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、AddMissingUserCompletedEvent、AddMissingUserFailureEvent、ApplicationAdded、ApplicationDeleted、ApplicationGroupAssignmentModified、ApplicationGroupCreated、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、DeviceWipeRequested、ProfileVersionAdded、RestrictionPayloadModified、SmartGroupsModified、SyncGroupCompletedEvent、SyncGroupFailureEvent、SearchMissingUserCompleteEvent、SyncAdminFailure、SyncUserCompletedEvent、SyncUserFailureEvent、UserDeleted、HealthAttestationCertificateRequestConfirmed、WindowsDeviceCheckInMode、SampleResponseListReceived、HealthAttestationCertificateRequested、WindowsInformationConfirmed、RemoteManagement、HealthAttestationServerToServerSyncReqConfirmed、ScepThumbprintSampleConfirmed、HealthAttestationSampleRequestConfirmed、HealthAttestationServerToServerSyncRequested、HealthAttestationServerToServerSyncRequestFailed、WipeRequest、InstallApplicationFailed、OwnershipChanged、WipeConfirmed、FreshDeviceCreatedInDeviceState、UserSetToInactive、ExistingDeviceUpdatedInDeviceState、HealthAttestationCertificateRequestFailed、AppleOsXmdmDeviceTokenUpdate、DeviceUnenrolled、ScheduleOsUpdateResults、UserRoleAssignmentModified、UserModified、ComplianceActionTaken、AppleTokenUpdateComplete、UserEnrollmentTokenCreated、ScheduleOsUpdatesConfirmed、OsUpdateStatusRequested。
principal.process.pid 這個值取自原始記錄中的 process_id 欄位。
principal.user.group_identifiers 如果 event_name 為 AuthTokenIssued 或 AuthTokenRevoked,系統會從原始記錄中的 auth_group 欄位取得值。
principal.user.user_display_name 這個值取自原始記錄中的 user_info 欄位。
principal.user.userid 如果 event_name 是下列其中一個值,系統會從原始記錄檔的 user_name 欄位取得值:AuthTokenIssued、AuthTokenRevoked、BreakMDMRequested、ComplianceNotificationSent、DeleteDeviceRequested、Revoked、ComplianceStatusChanged、CompliancePolicyModified、ProfileModified、ProfilePublished、ProfileSetToInactive、SmartGroupsDeleted、ApplicationDownload、EnrollmentComplete、EULAAccepted、StartACMRequested、DeviceEnterpriseWipeRequested、InstallApplicationRequested、InstallProfileRequested、RemoveProfileRequested、ApplicationInstallOnDeviceRequested、FindDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AvailableOsUpdatesRequested、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、AddMissingUserCompletedEvent、AddMissingUserFailureEvent、ApplicationAdded、ApplicationDeleted、ApplicationGroupAssignmentModified、ApplicationGroupCreated、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、DeviceWipeRequested、ProfileVersionAdded、RestrictionPayloadModified、SmartGroupsModified、SyncGroupCompletedEvent、SyncGroupFailureEvent、SearchMissingUserCompleteEvent、SyncAdminFailure、SyncUserCompletedEvent、SyncUserFailureEvent、UserDeleted、HealthAttestationCertificateRequestConfirmed、WindowsDeviceCheckInMode、SampleResponseListReceived、HealthAttestationCertificateRequested、WindowsInformationConfirmed、RemoteManagement、HealthAttestationServerToServerSyncReqConfirmed、ScepThumbprintSampleConfirmed、HealthAttestationSampleRequestConfirmed、HealthAttestationServerToServerSyncRequested、HealthAttestationServerToServerSyncRequestFailed、WipeRequest、InstallApplicationFailed、OwnershipChanged、WipeConfirmed、FreshDeviceCreatedInDeviceState、UserSetToInactive、ExistingDeviceUpdatedInDeviceState、HealthAttestationCertificateRequestFailed、AppleOsXmdmDeviceTokenUpdate、DeviceUnenrolled、ScheduleOsUpdateResults、UserRoleAssignmentModified、UserModified、ComplianceActionTaken、AppleTokenUpdateComplete、UserEnrollmentTokenCreated、ScheduleOsUpdatesConfirmed、OsUpdateStatusRequested、EditDevice。
security_result.action 如果 event_name 為 DeviceProfileTypeUnblocked,這個值會設為「ALLOW」。
security_result.action 如果 event_name 是 DeviceProfileTypeBlocked、SyncAdminFailure、SyncGroupFailureEvent 或 SyncUserFailureEvent,這個值會設為「BLOCK」。
security_result.category 如果 event_name 為 SSPUserLoginAttemptFailed,這個值會設為「AUTH_VIOLATION」。
security_result.category 當 event_name 為 ComplianceStatusChanged、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、ComplianceNotificationSent 或 CompromisedStatusChanged 時,這個值會設為「POLICY_VIOLATION」。
security_result.category_details 這個值取自原始記錄中的「事件類別」欄位。
security_result.description 如果說明欄位包含 IP 位址,系統會從原始記錄的 des 欄位中取得值。
security_result.description 如果說明欄位未包含 IP 位址,系統會從原始記錄的說明欄位中擷取值。
security_result.description 如果 event_name 為 SyncAdminFailure,這個值會設為「unexpected error occurred, check logs for details」。
security_result.description 當 event_name 為 MergeGroupCompletedEvent 時,這個值會取自原始記錄中的 GroupManagementData 欄位。
security_result.summary 這個值取自原始記錄中的摘要欄位。
target.administrative_domain 當 event_name 為 CompliancePolicyModified 時,系統會從原始記錄的網域欄位取得值。
target.application 當 event_name 為下列其中一項時,系統會從原始記錄中的 app_name 欄位取得值:InstallApplicationRequested、ApplicationInstallOnDeviceRequested、RemoveApplicationRequested、ApplicationAdded、ApplicationDeleted、ApplicationRemoveFromDeviceRequested、ApplicationModified、ApplicationPublished、ApplicationPublishFailed、ApplicationPublishStarted、ApplicationVersionAdded、ApplicationDownload、InstallApplicationConfirmed。
target.asset_id 如果 event_name 為 DeleteDeviceRequested,且 device_serial_number 和 device_udid 欄位不為空白,則值會設為「device_serial_number:device_udid」。
target.group.group_display_name 如果 event_name 是 ApplicationGroupAssignmentModified 或 ApplicationGroupCreated,系統會從原始記錄中的 ApplicationGroup 欄位取得值。
target.hostname 當 event_name 為 DeviceLocationGroupChanged 時,此值會取自原始記錄中的「裝置」欄位。
target.ip 如果 event_name 為 SSPUserLoginAttemptFailed,這個值會取自原始記錄中的 sys_ip 欄位。
target.ip 如果 event_name 是下列其中之一,系統會從原始記錄的 target_ip 欄位取得值:CompliancePolicyModified、CertificateIssued、CompromisedStatusChanged、AppListSampleRefused、CertificateListSampleRefused、DeviceInformationRefused、ProfileListRefused、SecurityInformation、SecureChannelCheckIn、SecurityInformationConfirmed、StartACMConfirmed、AdminUserLoggedIn、AdminUserLoggedOut、AvailableOSUpdatesList、AvailableOsUpdatesConfirmed。
target.port 這個值取自原始記錄中的 target_port 欄位。
target.resource.name 如果 event_name 為下列其中一項:「Revoked」、「CompliancePolicyModified」、「ComplianceStatusChanged」、「DeviceProfileTypeBlocked」、「DeviceProfileTypeUnblocked」,則此值會設為「SETTING」。
target.resource.type 如果 event_name 為 ApplicationDownload,這個值會設為「APP」。
target.resource.type 如果 event_name 為 EnrollmentComplete,這個值會設為「DEVICE」。
target.resource.type 如果 event_name 為 EULAAccepted,此值會設為「EULA」。
target.resource.type 如果 event_name 為 DeviceOperatingSystemChanged,這個值會設為「OS」。
target.resource.type 如果 event_name 為 InstallProfileConfirmed,此值會設為「PROFILE」。
target.resource.type 如果 event_name 為下列其中一項:「Revoked」、「CompliancePolicyModified」、「ComplianceStatusChanged」、「DeviceProfileTypeBlocked」、「DeviceProfileTypeUnblocked」,則此值會設為「SETTING」。
target.url 如果 method_url 欄位不為空白,系統會從原始記錄的 target_url 欄位中取得值。
target.user.group_identifiers 如果 event_name 為 AuthTokenIssued 或 AuthTokenRevoked,系統會從原始記錄中的 auth_group 欄位取得值。
target.user.userid 如果 event_name 是 AddMissingUserCompletedEvent 或 AddMissingUserFailureEvent,系統會從原始記錄中的 group_user 欄位取得值。
target.user.userid 如果 event_name 為下列其中一項,系統會從原始記錄中的 enrollment_user 欄位取得值:BreakMDMRequested、ComplianceNotificationSent、DeleteDeviceRequested、Revoked、ComplianceStatusChanged、ApplicationDownload、EnrollmentComplete、EULAAccepted、StartACMRequested、DeviceEnterpriseWipeRequested、InstallApplicationRequested、InstallProfileRequested、RemoveProfileRequested、ApplicationInstallOnDeviceRequested、FindDeviceRequested、RemoveApplicationRequested、SendMessageRequested、AuthTokenIssued、AuthTokenRevoked、InstallApplicationConfirmed、InstallProfileConfirmed、BreakMDMConfirmed、DeviceOperatingSystemChanged、RemoveProfileConfirmed、DeviceAttributeDeviceMCCModified、DeviceAttributePhoneNumberModified、AvailableOsUpdatesRequested、DeviceProfileTypeBlocked、DeviceProfileTypeUnblocked、ApplicationRemoveFromDeviceRequested、DeviceClearPasscodeRequested、DeviceWipeRequested。
target.user.userid 如果 event_name 為 UserDeleted,系統會從原始記錄的「使用者」欄位取得值。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。