系统登录数据集
编辑系统登录数据集
编辑此功能处于测试阶段,可能会发生更改。其设计和代码不如正式 GA 功能成熟,按现状提供,不提供任何担保。测试版功能不受正式 GA 功能支持 SLA 的约束。
这是系统模块的login数据集。
实现
编辑login数据集仅在 Linux 上实现。
在 Linux 上,该数据集读取跟踪系统登录和注销的utmp文件。它们通常位于/var/log/wtmp(成功登录)和/var/log/btmp(登录失败)。
用于查找文件的“文件模式”可以通过login.wtmp_file_pattern和login.btmp_file_pattern进行配置。默认情况下,会读取当前文件和任何已轮转的文件(例如wtmp.1、wtmp.2)。
utmp 文件是二进制文件,但您可以使用utmpdump实用程序显示其内容。
示例仪表板
编辑该数据集附带一个示例仪表板。
字段
编辑有关数据集每个字段的说明,请参见导出字段部分。
这是一个由该数据集生成的示例文档。
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"event": {
"action": "user_login",
"category": "authentication",
"dataset": "login",
"kind": "event",
"module": "system",
"origin": "/var/log/wtmp",
"outcome": "success",
"type": "authentication_success"
},
"message": "Login by user vagrant (UID: 1000) on pts/2 (PID: 14962) from 10.0.2.2 (IP: 10.0.2.2)",
"process": {
"pid": 14962
},
"service": {
"type": "system"
},
"source": {
"ip": "10.0.2.2"
},
"user": {
"id": 1000,
"name": "vagrant",
"terminal": "pts/2"
}
}