- Filebeat 参考其他版本
- Filebeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级
- Filebeat 的工作原理
- 配置
- 输入
- 模块
- 通用设置
- 项目路径
- 配置文件加载
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_tags
- append
- cache
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_cef
- decode_csv_fields
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- parse_aws_vpc_flow_log
- rate_limit
- registered_domain
- rename
- replace
- script
- syslog
- timestamp
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 自动发现
- 内部队列
- 日志记录
- HTTP 端点
- 正则表达式支持
- 检测
- 功能标志
- filebeat.reference.yml
- 操作指南
- 模块
- 模块概述
- ActiveMQ 模块
- Apache 模块
- Auditd 模块
- AWS 模块
- AWS Fargate 模块
- Azure 模块
- CEF 模块
- Check Point 模块
- Cisco 模块
- CoreDNS 模块
- CrowdStrike 模块
- Cyberark PAS 模块
- Elasticsearch 模块
- Envoyproxy 模块
- Fortinet 模块
- Google Cloud 模块
- Google Workspace 模块
- HAproxy 模块
- IBM MQ 模块
- Icinga 模块
- IIS 模块
- Iptables 模块
- Juniper 模块
- Kafka 模块
- Kibana 模块
- Logstash 模块
- Microsoft 模块
- MISP 模块
- MongoDB 模块
- MSSQL 模块
- MySQL 模块
- MySQL Enterprise 模块
- NATS 模块
- NetFlow 模块
- Nginx 模块
- Office 365 模块
- Okta 模块
- Oracle 模块
- Osquery 模块
- Palo Alto Networks 模块
- pensando 模块
- PostgreSQL 模块
- RabbitMQ 模块
- Redis 模块
- Salesforce 模块
- Santa 模块
- Snyk 模块
- Sophos 模块
- Suricata 模块
- System 模块
- Threat Intel 模块
- Traefik 模块
- Zeek (Bro) 模块
- ZooKeeper 模块
- Zoom 模块
- 导出的字段
- ActiveMQ 字段
- Apache 字段
- Auditd 字段
- AWS 字段
- AWS CloudWatch 字段
- AWS Fargate 字段
- Azure 字段
- Beat 字段
- 解码 CEF 处理器字段
- CEF 字段
- Checkpoint 字段
- Cisco 字段
- 云提供商元数据字段
- Coredns 字段
- Crowdstrike 字段
- CyberArk PAS 字段
- Docker 字段
- ECS 字段
- Elasticsearch 字段
- Envoyproxy 字段
- Fortinet 字段
- Google Cloud Platform (GCP) 字段
- google_workspace 字段
- HAProxy 字段
- 主机字段
- ibmmq 字段
- Icinga 字段
- IIS 字段
- iptables 字段
- Jolokia Discovery 自动发现提供程序字段
- Juniper JUNOS 字段
- Kafka 字段
- kibana 字段
- Kubernetes 字段
- 日志文件内容字段
- logstash 字段
- Lumberjack 字段
- Microsoft 字段
- MISP 字段
- mongodb 字段
- mssql 字段
- MySQL 字段
- MySQL Enterprise 字段
- NATS 字段
- NetFlow 字段
- Nginx 字段
- Office 365 字段
- Okta 字段
- Oracle 字段
- Osquery 字段
- panw 字段
- Pensando 字段
- PostgreSQL 字段
- 进程字段
- RabbitMQ 字段
- Redis 字段
- s3 字段
- Salesforce 字段
- Google Santa 字段
- Snyk 字段
- sophos 字段
- Suricata 字段
- System 字段
- threatintel 字段
- Traefik 字段
- Windows ETW 字段
- Zeek 字段
- ZooKeeper 字段
- Zoom 字段
- 监控
- 安全
- 故障排除
- 获取帮助
- 调试
- 了解记录的指标
- 常见问题
- 在使用 Kubernetes 元数据时提取容器 ID 时出错
- 无法从网络卷读取日志文件
- Filebeat 未从文件中收集行
- 打开的文件句柄过多
- 注册表文件太大
- Inode 重用导致 Filebeat 跳过行
- 日志轮换导致事件丢失或重复
- 打开的文件句柄导致 Windows 文件轮换出现问题
- Filebeat 占用过多 CPU
- Kibana 中的仪表板错误地分解数据字段
- 字段未在 Kibana 可视化中编制索引或可用
- Filebeat 未传输文件的最后一行
- Filebeat 长时间保持已删除文件的打开文件句柄
- Filebeat 使用过多带宽
- 加载配置文件时出错
- 发现意外或未知字符
- Logstash 连接不起作用
- 发布到 Logstash 失败,并显示“connection reset by peer”消息
- @metadata 在 Logstash 中丢失
- 不确定是使用 Logstash 还是 Beats
- SSL 客户端无法连接到 Logstash
- 监控 UI 显示的 Beats 比预期的少
- 仪表板无法定位索引模式
- 由于 MADV 设置导致高 RSS 内存使用率
- 为 Beats 做贡献
Office 365 管理活动 API 输入
编辑Office 365 管理活动 API 输入
编辑[8.14.0] 在 8.14.0 中已弃用。
o365audit 输入已弃用。要收集 Microsoft Office 365 日志数据,请使用 Microsoft 365 集成包。对于更复杂或用户特定的用例,可以使用 CEL 输入 来实现类似的功能。
此功能为测试版,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。
使用 o365audit 输入从 Office 365 和 Azure AD 活动日志中检索审计消息。这些日志与安全和合规性中心中的审计日志搜索下提供的日志相同。
只要将单个应用程序配置为访问所有租户,就可以使用单个输入实例来获取多个租户的事件。在这种情况下,建议使用基于证书的身份验证。
此输入不会对传入的消息执行任何转换,特别是不会填充任何 Elastic 通用模式字段,并且某些数据被编码为对象数组,这些数组在 Elasticsearch 中难以查询。您可能需要改为使用 Office 365 模块。
配置示例
filebeat.inputs: - type: o365audit application_id: my-application-id tenant_id: my-tenant-id client_secret: my-client-secret
还支持多租户和基于证书的身份验证
filebeat.inputs: - type: o365audit application_id: my-application-id tenant_id: - tenant-id-A - tenant-id-B - tenant-id-C certificate: /path/to/cert.pem key: /path/to/private.pem # key_passphrase: "my key's password"
配置选项
编辑o365audit 输入支持以下配置选项以及稍后描述的 通用选项。
application_id
编辑要进行身份验证的 Azure 应用程序的应用程序 ID(也称为客户端 ID)。
tenant_id
编辑要获取数据的租户 ID(也称为目录 ID)。也可以指定租户 ID 列表,以便从多个租户获取数据。
content_type
编辑要获取的内容类型列表。默认值是获取所有已知的内容类型
- Audit.AzureActiveDirectory
- Audit.Exchange
- Audit.SharePoint
- Audit.General
- DLP.All
client_secret
编辑用于身份验证的客户端密钥。
certificate
编辑用于基于证书的身份验证的公钥证书文件路径。
key
编辑用于基于证书的身份验证的证书私钥文件路径。
key_passphrase
编辑用于解密私钥的密码。
api.authentication_endpoint
编辑用于授权 Azure 应用程序的身份验证端点。默认值为 https://login.microsoftonline.com/,可以更改为访问其他端点。
api.resource
编辑从中检索信息的 API 资源。默认值为 https://manage.office.com,可以更改为访问其他端点。
api.max_retention
编辑支持的最大数据保留期。默认为 168h。Filebeat 将在首次运行时获取租户的所有保留数据。
api.poll_interval
编辑在轮询 API 服务器以获取新事件之前等待的时间间隔。默认为 3m。
api.max_requests_per_minute
编辑每个租户每分钟执行的最大请求数。默认值为 2000,因为这是每个租户的服务器端限制。
api.max_query_size
编辑单个查询中 API 允许的最大时间窗口。默认为 24h,以匹配 Microsoft 文档中记录的限制。
api.preserve_original_event
编辑控制是否将原始 o365 审计对象保留在 event.original 中。默认值为 false。
通用选项
编辑所有输入都支持以下配置选项。
enabled
编辑使用 enabled 选项来启用和禁用输入。默认情况下,enabled 设置为 true。
tags
编辑Filebeat 在每个已发布事件的 tags 字段中包含的标签列表。标签可以轻松地在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤。这些标签将附加到常规配置中指定的标签列表。
示例
filebeat.inputs: - type: o365audit . . . tags: ["json"]
fields
编辑您可以指定的可选字段,用于向输出添加其他信息。例如,您可以添加可用于筛选日志数据的字段。字段可以是标量值、数组、字典或它们的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶层字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。
filebeat.inputs: - type: o365audit . . . fields: app_id: query_engine_12
fields_under_root
编辑如果将此选项设置为 true,则自定义 字段将作为输出文档中的顶层字段存储,而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
processors
编辑要应用于输入数据的处理器列表。
有关在配置中指定处理器的信息,请参阅 处理器。
pipeline
编辑为此输入生成的事件设置的摄取管道 ID。
管道 ID 也可以在 Elasticsearch 输出中配置,但是此选项通常会生成更简单的配置文件。如果在输入和输出中都配置了管道,则使用输入中的选项。
keep_null
编辑如果将此选项设置为 true,则具有 null 值的字段将发布在输出文档中。默认情况下,keep_null 设置为 false。
index
编辑如果存在,此格式化的字符串将覆盖此输入事件的索引(对于 elasticsearch 输出),或者设置事件元数据的 raw_index 字段(对于其他输出)。此字符串只能引用代理名称和版本以及事件时间戳;要访问动态字段,请使用 output.elasticsearch.index 或处理器。
示例值:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会展开为 "filebeat-myindex-2019.11.01"。
publisher_pipeline.disable_host
编辑默认情况下,所有事件都包含 host.name。可以将此选项设置为 true 以禁用向所有事件添加此字段。默认值为 false。
On this page
- 配置选项
application_idtenant_idcontent_typeclient_secretcertificatekeykey_passphraseapi.authentication_endpointapi.resourceapi.max_retentionapi.poll_intervalapi.max_requests_per_minuteapi.max_query_sizeapi.preserve_original_event- 通用选项
enabledtagsfieldsfields_under_rootprocessorspipelinekeep_nullindexpublisher_pipeline.disable_host