Fortinet 模块
编辑Fortinet 模块
编辑这是一个用于以 syslog 格式发送的 Fortinet 日志的模块。它支持以下设备
-
firewall文件集:支持 FortiOS 防火墙日志。
要配置远程 syslog 目标,请参考 Fortigate/FortiOS 文档。
选择的 syslog 格式应为 Default。
阅读 快速入门 以了解如何配置和运行模块。
兼容性
编辑此模块已针对 FortiOS 6.0.x 和 6.2.x 版本进行了测试。预计高于此版本的版本也能正常工作,但尚未进行测试。
配置模块
编辑您可以通过在 modules.d/fortinet.yml 文件中指定 变量设置 或在命令行中覆盖设置来进一步优化 fortinet 模块的行为。
您必须在模块中启用至少一个文件集。文件集默认情况下处于禁用状态。
变量设置
编辑每个文件集都有单独的变量设置来配置模块的行为。如果您未指定变量设置,则 fortinet 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置。
当您在命令行中指定设置时,请记住在设置前加上模块名称,例如,fortinet.firewall.var.paths 而不是 firewall.var.paths。
firewall 文件集设置
编辑- module: fortinet
firewall:
enabled: true
var.input: udp
var.syslog_host: 0.0.0.0
var.syslog_port: 9004
-
var.paths - 一个基于 glob 的路径数组,用于指定查找日志文件的位置。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将获取/path/to/log的子文件夹中的所有.log文件。它不会获取/path/to/log文件夹本身的日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。
时区支持
编辑此模块解析不包含时区信息的日志。对于这些日志,Filebeat 读取本地时区并在解析时使用它将时间戳转换为 UTC。用于解析的时区包含在 event.timezone 字段的事件中。
要禁用此转换,可以使用 drop_fields 处理器删除 event.timezone 字段。
如果日志源自与本地时区不同的系统的系统或应用程序,则可以使用 add_fields 处理器将 event.timezone 字段覆盖为原始时区。
请参阅 处理器 以获取有关在配置中指定处理器的信息。
-
var.input - 要使用的输入,可以是
tcp、udp或file值。 -
var.syslog_host - 侦听所有 syslog 流量的接口。默认为 localhost。设置为 0.0.0.0 以绑定到所有可用接口。
-
var.syslog_port - 侦听 syslog 流量的端口。默认为 9004。
-
var.tags - 要包含在事件中的标签列表。包含
forwarded表示事件并非源自此主机,并导致host.name不添加到事件中。默认为[fortinet-firewall, forwarded]。
Fortinet ECS 字段
编辑这是一个映射到 ECS 的 FortiOS 字段列表。
| Fortinet 字段 | ECS 字段 | |
|---|---|---|
action |
event.action |
|
agent |
user_agent.original |
|
app |
network.application |
|
appcat |
rule.category |
|
applist |
rule.ruleset |
|
catdesc |
rule.category |
|
ccertissuer |
tls.client_issuer |
|
collectedemail |
source.user.email |
|
comment |
rule.description |
|
daddr |
destination.address |
|
devid |
observer.serial_number |
|
dir |
network.direction |
|
direction |
network.direction |
|
dst_host |
destination.address |
|
dstcollectedemail |
destination.user.email |
|
dst_int |
observer.egress.interface.name |
|
dstintf |
observer.egress.interface.name |
|
dstip |
destination.ip |
|
dstmac |
destination.mac |
|
dstname |
destination.address |
|
dst_port |
destination.port |
|
dstport |
destination.port |
|
dstunauthuser |
destination.user.name |
|
dtype |
vulnerability.category |
|
duration |
event.duration |
|
errorcode |
error.code |
|
event_id |
event.id |
|
eventid |
event.id |
|
eventtime |
event.start |
|
eventtype |
event.action |
|
file |
file.name |
|
filename |
file.name |
|
filesize |
file.size |
|
filetype |
file.extension |
|
filehash |
file.hash.crc32 |
|
from |
source.user.email |
|
group |
source.user.group |
|
hostname |
url.domain |
|
infectedfilename |
file.name |
|
infectedfilesize |
file.size |
|
infectedfiletype |
file.extension |
|
ipaddr |
dns.resolved_ip |
|
level |
log.level |
|
locip |
source.ip |
|
locport |
source.port |
|
logdesc |
rule.description |
|
logid |
event.code |
|
matchfilename |
file.name |
|
matchfiletype |
file.extension |
|
msg |
message |
|
error_num |
error.code |
|
policyid |
rule.id |
|
policy_id |
rule.id |
|
policyname |
rule.name |
|
policytype |
rule.ruleset |
|
poluuid |
rule.uuid |
|
profile |
rule.ruleset |
|
proto |
network.iana_number |
|
qclass |
dns.question.class |
|
qname |
dns.question.name |
|
qtype |
dns.question.type |
|
rcvdbyte |
source.bytes |
|
rcvdpkt |
source.packets |
|
recipient |
destination.user.email |
|
ref |
event.reference |
|
remip |
destination.ip |
|
remport |
destination.port |
|
saddr |
source.address |
|
scertcname |
tls.client.server_name |
|
scertissuer |
tls.server.issuer |
|
sender |
source.user.email |
|
sentbyte |
source.bytes |
|
sentpkt |
source.packets |
|
service |
network.protocol |
|
sess_duration |
event.duration |
|
srcdomain |
source.domain |
|
srcintf |
observer.ingress.interface.name |
|
srcip |
source.ip |
|
source_mac |
source.mac |
|
srcmac |
source.mac |
|
srcport |
source.port |
|
tranip |
destination.nat.ip |
|
tranport |
destination.nat.port |
|
transip |
source.nat.ip |
|
transport |
source.nat.port |
|
tz |
event.timezone |
|
unauthuser |
source.user.name |
|
url |
url.path |
|
user |
source.user.name |
|
xid |
dns.id |
字段
编辑有关模块中每个字段的描述,请参阅 导出字段 部分。