Zeek(Bro)模块
编辑Zeek(Bro)模块编辑
这是一个用于Zeek的模块,Zeek 以前称为 Bro。它解析采用 Zeek JSON 格式的日志。
如果 Zeek 中安装了以下脚本,则 Zeek SSL 文件集将处理来自这些脚本的字段。
阅读快速入门,了解如何配置和运行模块。
兼容性编辑
此模块是针对 Zeek 2.6.1 开发的,但预计可与更新版本的 Zeek 配合使用。
Zeek 需要类 Unix 平台,目前支持 Linux、FreeBSD 和 Mac OS X。
capture_loss 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。
connection 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
dce_rpc 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
dhcp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
dnp3 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
dns 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
dpd 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
files 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。
ftp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
files 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
http 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
intel 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
irc 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
kerberos 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
modbus 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
mysql 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
notice 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
ntls 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
ntp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
ocsp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。
pe 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。
radius 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
rdp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
rfb 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
signature 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
sip 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
smb_cmd 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
smb_files 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
smb_mapping 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
smtp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
snmp 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
socks 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
ssh 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
ssl 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
stats 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。
syslog 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
traceroute 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
tunnel 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
weird 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。 -
var.internal_networks - 描述您认为是内部 IP 地址的 CIDR 范围列表。这用于确定
network.direction的值。这些值可以是 CIDR 值,也可以是network条件支持的命名范围之一。默认值为[private],它将 RFC 1918 (IPv4) 和 RFC 4193 (IPv6) 地址分类为内部地址。
x509 日志文件集设置编辑
-
var.paths - 指定在何处查找日志文件的基于 glob 的路径数组。此处也支持Go Glob支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要包含在事件中的标签列表。包括
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[suricata]。
示例仪表板编辑
此模块附带一个示例仪表板。例如
字段编辑
有关模块中每个字段的说明,请参阅导出字段部分。