系统登录数据集
编辑系统登录数据集
编辑此功能为 Beta 版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,因此按“原样”提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 约束。
这是系统模块的 login
数据集。
实现
编辑login
数据集仅针对 Linux 实现。
在 Linux 上,数据集读取 utmp 文件,这些文件用于跟踪系统中的登录和注销。它们通常位于 /var/log/wtmp
(成功登录) 和 /var/log/btmp
(失败登录)。
用于定位文件的文件模式可以使用 login.wtmp_file_pattern
和 login.btmp_file_pattern
进行配置。默认情况下,会读取当前文件和任何轮换文件 (例如 wtmp.1
、wtmp.2
)。
utmp 文件是二进制文件,但您可以使用 utmpdump
实用程序显示其内容。
示例仪表板
编辑该数据集附带一个示例仪表板
字段
编辑有关数据集中每个字段的说明,请参阅导出的字段部分。
这是由此数据集生成的示例文档
{ "@timestamp": "2017-10-12T08:05:34.853Z", "event": { "action": "user_login", "category": "authentication", "dataset": "login", "kind": "event", "module": "system", "origin": "/var/log/wtmp", "outcome": "success", "type": "authentication_success" }, "message": "Login by user vagrant (UID: 1000) on pts/2 (PID: 14962) from 10.0.2.2 (IP: 10.0.2.2)", "process": { "pid": 14962 }, "service": { "type": "system" }, "source": { "ip": "10.0.2.2" }, "user": { "id": 1000, "name": "vagrant", "terminal": "pts/2" } }