« Traefik 模块 ZooKeeper 模块 »
Elastic 文档 Filebeat 参考 [8.17] 模块

Zeek (Bro) 模块

编辑

Zeek (Bro) 模块

编辑

倾向于使用 Elastic Agent 来处理此用例吗?

请参阅 Elastic Integrations 文档

了解更多

Elastic Agent 是一种单一的、统一的方式,可以为主机添加日志、指标和其他类型的数据的监控。它还可以保护主机免受安全威胁,查询操作系统中的数据,转发来自远程服务或硬件的数据等等。有关 Beats 和 Elastic Agent 的详细比较,请参阅文档。

这是一个用于 Zeek(以前称为 Bro)的模块。它解析 Zeek JSON 格式的日志。

如果 Zeek 中安装了这些脚本,则 Zeek SSL 文件集将处理来自这些脚本的字段。

请阅读快速入门,了解如何配置和运行模块。

兼容性

编辑

此模块是针对 Zeek 2.6.1 开发的,但预计可与更新版本的 Zeek 一起使用。

Zeek 需要类似 Unix 的平台,它目前支持 Linux、FreeBSD 和 Mac OS X。

capture_loss 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]

connection 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dce_rpc 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dhcp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dnp3 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dns 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

dpd 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

files 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]

ftp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

files 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

http 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

intel 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

irc 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

kerberos 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

modbus 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

mysql 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

notice 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ntls 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ntp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ocsp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]

pe 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]

radius 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

rdp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

rfb 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

signature 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

sip 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smb_cmd 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smb_files 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smb_mapping 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

smtp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

snmp 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

socks 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ssh 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

ssl 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

stats 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]

syslog 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

traceroute 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

tunnel 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

weird 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]
var.internal_networks
描述您认为是内部的 IP 地址的 CIDR 范围列表。这用于确定 network.direction 的值。这些值可以是 CIDR 值,也可以是 network 条件支持的命名范围之一。默认值为 [private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。

x509 日志文件集设置

编辑
var.paths
一个基于 glob 的路径数组,用于指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,可以使用通配符从预定义级别的子目录中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置留空,Filebeat 将根据您的操作系统选择日志路径。
var.tags
要包含在事件中的标签列表。包含 forwarded 表示事件不是源自此主机,并导致 host.name 不会添加到事件中。默认为 [suricata]

示例仪表板

编辑

此模块附带一个示例仪表板。例如

kibana zeek

字段

编辑

有关模块中每个字段的描述,请参阅导出的字段部分。

« Traefik 模块 ZooKeeper 模块 »