系统登录数据集
编辑系统登录数据集
编辑此功能为 Beta 版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,因此按“原样”提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 约束。
这是系统模块的 login 数据集。
实现
编辑login 数据集仅针对 Linux 实现。
在 Linux 上,数据集读取 utmp 文件,这些文件用于跟踪系统中的登录和注销。它们通常位于 /var/log/wtmp (成功登录) 和 /var/log/btmp (失败登录)。
用于定位文件的文件模式可以使用 login.wtmp_file_pattern 和 login.btmp_file_pattern 进行配置。默认情况下,会读取当前文件和任何轮换文件 (例如 wtmp.1、wtmp.2)。
utmp 文件是二进制文件,但您可以使用 utmpdump 实用程序显示其内容。
示例仪表板
编辑该数据集附带一个示例仪表板
字段
编辑有关数据集中每个字段的说明,请参阅导出的字段部分。
这是由此数据集生成的示例文档
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"event": {
"action": "user_login",
"category": "authentication",
"dataset": "login",
"kind": "event",
"module": "system",
"origin": "/var/log/wtmp",
"outcome": "success",
"type": "authentication_success"
},
"message": "Login by user vagrant (UID: 1000) on pts/2 (PID: 14962) from 10.0.2.2 (IP: 10.0.2.2)",
"process": {
"pid": 14962
},
"service": {
"type": "system"
},
"source": {
"ip": "10.0.2.2"
},
"user": {
"id": 1000,
"name": "vagrant",
"terminal": "pts/2"
}
}