« Traefik 模块 ZooKeeper 模块 »
Elastic 文档 Filebeat 参考 [8.16] 模块

Zeek (Bro) 模块

编辑

Zeek (Bro) 模块

编辑

是否更倾向于为此用例使用 Elastic Agent?

请参阅 Elastic 集成文档

了解更多

Elastic Agent 是一种单一统一的方式,用于向主机添加日志、指标和其他类型数据的监控。它还可以保护主机免受安全威胁,查询操作系统中的数据,转发来自远程服务或硬件的数据等等。请参阅文档以获取 Beats 和 Elastic Agent 的详细比较

这是一个用于 Zeek 的模块,以前称为 Bro。它解析以 Zeek JSON 格式存储的日志。

如果 Zeek 中安装了这些脚本,则 Zeek SSL 文件集将处理来自这些脚本的字段。

阅读 快速入门,了解如何配置和运行模块。

兼容性

编辑

此模块已针对 Zeek 2.6.1 开发,但预计可与更新版本的 Zeek 配合使用。

Zeek 需要类 Unix 平台,目前支持 Linux、FreeBSD 和 Mac OS X。

capture_loss 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]

connection 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dce_rpc 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dhcp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dnp3 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dns 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dpd 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

files 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]

ftp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

files 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

http 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

intel 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

irc 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

kerberos 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

modbus 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

mysql 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

notice 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ntls 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ntp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ocsp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]

pe 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]

radius 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

rdp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

rfb 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

signature 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

sip 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smb_cmd 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smb_files 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smb_mapping 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smtp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

snmp 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

socks 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ssh 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ssl 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

stats 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]

syslog 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

traceroute 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

tunnel 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

weird 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

x509 日志文件集设置

编辑
var.paths
指定查找日志文件位置的基于 glob 的路径数组。此处也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将获取 /path/to/log 的子文件夹中的所有 .log 文件。它不会获取 /path/to/log 文件夹本身的日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [suricata]

示例仪表盘

编辑

此模块附带一个示例仪表盘。例如

kibana zeek

字段

编辑

有关模块中每个字段的描述,请参阅 导出字段 部分。

« Traefik 模块 ZooKeeper 模块 »