New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« Envoyproxy 模块 Google Cloud 模块 »
Elastic 文档 Filebeat 参考 [8.17] 模块

Fortinet 模块

编辑

Fortinet 模块

编辑

首选为此用例使用 Elastic Agent?

请参考 Elastic Integrations 文档

了解更多

Elastic Agent 是一种单一、统一的方式,可以为主机添加日志、指标和其他类型的数据的监控。它还可以保护主机免受安全威胁,查询操作系统中的数据,转发来自远程服务或硬件的数据等等。有关 Beats 和 Elastic Agent 的详细 比较,请参阅文档

这是一个用于以 syslog 格式发送的 Fortinet 日志的模块。它支持以下设备:

  • firewall 文件集:支持 FortiOS 防火墙日志。

要配置远程 syslog 目标,请参考 Fortigate/FortiOS 文档

选择的 syslog 格式应为 Default

阅读快速入门,了解如何配置和运行模块。

兼容性

编辑

此模块已针对 FortiOS 版本 6.0.x 和 6.2.x 进行了测试。预计高于此版本的版本也可以工作,但尚未经过测试。

配置模块

编辑

您可以通过在 modules.d/fortinet.yml 文件中指定 变量设置,或者在命令行中覆盖设置,来进一步细化 fortinet 模块的行为。

您必须在模块中启用至少一个文件集。默认情况下,文件集处于禁用状态。

变量设置

编辑

每个文件集都有单独的变量设置,用于配置模块的行为。如果您未指定变量设置,则 fortinet 模块将使用默认值。

对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置

当您在命令行中指定设置时,请记住使用模块名称作为设置的前缀,例如,fortinet.firewall.var.paths 而不是 firewall.var.paths

firewall 文件集设置

编辑
- module: fortinet
  firewall:
    enabled: true
    var.input: udp
    var.syslog_host: 0.0.0.0
    var.syslog_port: 9004
var.paths
一个基于 glob 的路径数组,指定在何处查找日志文件。此处还支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义的子目录级别中获取所有文件:/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中获取所有 .log 文件。它不会从 /path/to/log 文件夹本身获取日志文件。如果此设置为空,则 Filebeat 将根据您的操作系统选择日志路径。

时区支持

编辑

此模块解析不包含时区信息的日志。对于这些日志,Filebeat 会读取本地时区并在解析时使用它将时间戳转换为 UTC。用于解析的时区包含在 event.timezone 字段的事件中。

要禁用此转换,可以使用 drop_fields 处理器删除 event.timezone 字段。

如果日志源自与本地时区不同的系统或应用程序,则可以使用 add_fields 处理器将 event.timezone 字段覆盖为原始时区。

有关在配置中指定处理器的信息,请参阅处理器

var.input
要使用的输入,可以是值 tcpudpfile
var.syslog_host
侦听所有 syslog 通信的接口。默认为 localhost。设置为 0.0.0.0 可绑定到所有可用接口。
var.syslog_port
侦听 syslog 通信的端口。默认为 9004。
var.tags
要包含在事件中的标记列表。包括 forwarded 表示事件并非源自此主机,并导致 host.name 不添加到事件中。默认为 [fortinet-firewall, forwarded]

Fortinet ECS 字段

编辑

这是映射到 ECS 的 FortiOS 字段的列表。

Fortinet 字段 ECS 字段

action

event.action

agent

user_agent.original

app

network.application

appcat

rule.category

applist

rule.ruleset

catdesc

rule.category

ccertissuer

tls.client_issuer

collectedemail

source.user.email

comment

rule.description

daddr

destination.address

devid

observer.serial_number

dir

network.direction

direction

network.direction

dst_host

destination.address

dstcollectedemail

destination.user.email

dst_int

observer.egress.interface.name

dstintf

observer.egress.interface.name

dstip

destination.ip

dstmac

destination.mac

dstname

destination.address

dst_port

destination.port

dstport

destination.port

dstunauthuser

destination.user.name

dtype

vulnerability.category

duration

event.duration

errorcode

error.code

event_id

event.id

eventid

event.id

eventtime

event.start

eventtype

event.action

file

file.name

filename

file.name

filesize

file.size

filetype

file.extension

filehash

file.hash.crc32

from

source.user.email

group

source.user.group

hostname

url.domain

infectedfilename

file.name

infectedfilesize

file.size

infectedfiletype

file.extension

ipaddr

dns.resolved_ip

level

log.level

locip

source.ip

locport

source.port

logdesc

rule.description

logid

event.code

matchfilename

file.name

matchfiletype

file.extension

msg

message

error_num

error.code

policyid

rule.id

policy_id

rule.id

policyname

rule.name

policytype

rule.ruleset

poluuid

rule.uuid

profile

rule.ruleset

proto

network.iana_number

qclass

dns.question.class

qname

dns.question.name

qtype

dns.question.type

rcvdbyte

source.bytes

rcvdpkt

source.packets

recipient

destination.user.email

ref

event.reference

remip

destination.ip

remport

destination.port

saddr

source.address

scertcname

tls.client.server_name

scertissuer

tls.server.issuer

sender

source.user.email

sentbyte

source.bytes

sentpkt

source.packets

service

network.protocol

sess_duration

event.duration

srcdomain

source.domain

srcintf

observer.ingress.interface.name

srcip

source.ip

source_mac

source.mac

srcmac

source.mac

srcport

source.port

tranip

destination.nat.ip

tranport

destination.nat.port

transip

source.nat.ip

transport

source.nat.port

tz

event.timezone

unauthuser

source.user.name

url

url.path

user

source.user.name

xid

dns.id

字段

编辑

有关模块中每个字段的描述,请参阅导出的字段部分。

« Envoyproxy 模块 Google Cloud 模块 »

On this page

Was this helpful?
Feedback