« Netscout 集成 Atlassian »
Elastic 文档 Elastic 集成

Arista NG 防火墙

编辑

Arista NG 防火墙

编辑

版本

1.2.0 (查看全部)

兼容的 Kibana 版本

8.11.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

此集成适用于 Arista NG 防火墙(以前称为 Untangle NG 防火墙)事件日志和指标。该软件包处理来自 Arista NG 防火墙设备的 syslog 消息。

配置

编辑

Arista NG 防火墙支持多个 syslog 输出规则,可以在防火墙配置的 事件选项卡中进行配置。

支持的事件类型

编辑
  • 管理员登录事件
  • 防火墙事件
  • HTTP 请求事件
  • HTTP 响应事件
  • 接口统计事件
  • 入侵防御日志事件
  • 会话事件
  • 会话统计事件
  • 系统统计事件
  • Web 过滤器事件

日志

编辑

Arista NG 防火墙

编辑

log 数据集收集 Arista NG 防火墙日志。

示例

log 的一个示例事件如下所示

{
    "@timestamp": "2023-05-19T17:52:37.962Z",
    "network": {
        "direction": "outbound",
        "iana_number": 17,
        "transport": "udp"
    },
    "host": {
        "hostname": "Host1",
        "name": "Host1"
    },
    "event": {
        "entitled": true,
        "category": [
            "session"
        ],
        "original": "\u003c174\u003eMay 19 11:52:37 INFO  uvm[0]:  {\"entitled\":true,\"protocol\":17,\"hostname\":\"Host1\",\"CServerPort\":9930,\"protocolName\":\"UDP\",\"serverLatitude\":37.751,\"localAddr\":\"10.0.0.10\",\"class\":\"class com.untangle.uvm.app.SessionEvent\",\"SServerAddr\":\"18.214.195.29\",\"remoteAddr\":\"18.214.195.29\",\"serverIntf\":1,\"CClientAddr\":\"10.0.0.10\",\"serverCountry\":\"US\",\"sessionId\":110221863965041,\"SClientAddr\":\"66.113.13.6\",\"clientCountry\":\"XL\",\"policyRuleId\":0,\"CClientPort\":59881,\"timeStamp\":\"2023-05-19 11:52:37.962\",\"serverLongitude\":-97.822,\"clientIntf\":2,\"policyId\":1,\"SClientPort\":59881,\"bypassed\":false,\"SServerPort\":9930,\"CServerAddr\":\"18.214.195.29\",\"tagsString\":\"\"}",
        "module": "arista_ngfw",
        "kind": "event",
        "dataset": "arista_ngfw.log",
        "ingested": "2023-05-19T17:52:39Z",
        "id": 110221863965041
    },
    "observer": {
        "product": "Arista NG Firewall",
        "type": "firewall",
        "hostname": "arista1.contoso.com",
        "name": "arista1",
        "vendor": "Arista"
    },
    "log": {
        "level": "informational",
        "syslog": {
            "severity": {
                "code": 6,
                "name": "Informational"
            },
            "facility": {
                "code": 21,
                "name": "Local 5"
            },
            "priority": 174
        }
    },
    "source": {
        "ip": "10.0.0.10",
        "domain": "Host1.contoso.com",
        "port": 59881,
        "geo": {}
    },
    "related": {
        "ip": [
            "18.214.195.29",
            "10.0.0.10"
        ],
        "hosts": [
            "EC2-18-214-195-29",
            "Host1",
            "arista1"
        ]
    },
    "tags": [],
    "destination": {
        "ip": "18.214.195.29",
        "domain": "EC2-18-214-195-29.COMPUTE-1.AMAZONAWS.COM",
        "port": 9930,
        "geo": {
            "city_name": "Ashburn",
            "region_name": "Virginia",
            "timezone": "America/New_York",
            "region_iso_code": "VA",
            "country_name": "United States",
            "country_iso_code": "US",
            "postal_code": "20149",
            "continent_code": "NA",
            "location": {
                "lon": -77.4903,
                "lat": 39.0469
            }
        }
    }
}
导出的字段
字段 描述 类型

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

arista.bypassed

如果已绕过,则为 True;否则为 False

布尔值

arista.cpu.load.1

过去 1 分钟内的平均 CPU 负载

整数

arista.cpu.load.15

过去 15 分钟内的平均 CPU 负载

整数

arista.cpu.load.5

过去 5 分钟内的平均 CPU 负载

整数

arista.cpu.system.pct

系统进程使用的 CPU 百分比

浮点数

arista.cpu.total.pct

系统和用户进程使用的 CPU 总百分比

浮点数

arista.cpu.user.pct

用户进程使用的 CPU 百分比

浮点数

arista.disk.free.bytes

可用磁盘空间(以字节为单位)

整数

arista.disk.free.pct

可用磁盘空间的百分比

浮点数

arista.disk.total.bytes

总磁盘空间

整数

arista.disk.used.bytes

已用磁盘空间(以字节为单位)

整数

arista.disk.used.pct

已用磁盘空间的百分比

浮点数

arista.entitled

授权状态

布尔值

arista.flagged

如果已标记,则为 True;否则为 False

布尔值

arista.hosts.active

当前处于活动状态的主机数

整数

arista.interface.id

网络接口的 ID

整数

arista.memory.buffers

使用的内存缓冲区数

整数

arista.memory.cache.bytes

缓存的内存(以字节为单位)

整数

arista.memory.free.bytes

可用内存(以字节为单位)

整数

arista.memory.free.pct

可用内存的百分比

浮点数

arista.memory.swap.free.bytes

可用交换内存(以字节为单位)

整数

arista.memory.swap.free.pct

可用交换内存的百分比

浮点数

arista.memory.swap.total.bytes

总交换内存(以字节为单位)

整数

arista.memory.swap.used.bytes

已用交换内存(以字节为单位)

整数

arista.memory.swap.used.pct

已用交换内存的百分比

浮点数

arista.memory.total.bytes

总内存(以字节为单位)

整数

arista.memory.used.bytes

已用内存(以字节为单位)

整数

arista.memory.used.pct

已用内存的百分比

浮点数

arista.policy.id

应用于当前事件的防火墙策略

整数

arista.policy.rule_id

负责将当前事件分配到其策略的防火墙策略规则

整数

arista.received.bytes

自上次报告指标以来接收的字节数

整数

arista.received.rate

正在接收的网络流量的速率(以字节为单位)

浮点数

arista.transmitted.bytes

自上次报告指标以来传输的字节数

整数

arista.transmitted.rate

正在传输的网络流量的速率(以字节为单位)

浮点数

client.address

某些事件客户端地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于哪个地址。

关键词

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。

关键词

client.ip

客户端的 IP 地址(IPv4 或 IPv6)。

IP

client.port

客户端的端口。

长整型

client.user.name

用户的短名称或登录名。

关键词

client.user.name.text

client.user.name 的多字段。

match_only_text

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。例如:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键词

cloud.availability_zone

此主机运行所在的可用区。

关键词

cloud.image.id

云实例的映像 ID。

关键词

cloud.instance.id

主机机器的实例 ID。

关键词

cloud.instance.name

主机机器的实例名称。

关键词

cloud.machine.type

主机机器的机器类型。

关键词

cloud.project.id

Google Cloud 中项目的名称。

关键词

cloud.provider

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

关键词

cloud.region

此主机运行所在的区域。

关键词

container.id

唯一的容器 ID。

关键词

container.image.name

容器构建所基于的映像的名称。

关键词

container.labels

映像标签。

对象

container.name

容器名称。

关键词

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.address

某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于哪个地址。

关键词

destination.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

长整型

destination.as.organization.name

组织名称。

关键词

destination.as.organization.name.text

destination.as.organization.name 的多字段。

match_only_text

destination.bytes

从目标发送到源的字节数。

长整型

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。

关键词

destination.geo.city_name

城市名称。

关键词

destination.geo.continent_code

表示大陆名称的两位字母代码。

关键词

destination.geo.continent_name

大陆的名称。

关键词

destination.geo.country_iso_code

国家/地区 ISO 代码。

关键词

destination.geo.country_name

国家/地区名称。

关键词

destination.geo.location

经度和纬度。

地理点

destination.geo.postal_code

与该位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码,并且在各个国家/地区之间差异很大。

关键词

destination.geo.region_iso_code

区域 ISO 代码。

关键词

destination.geo.region_name

区域名称。

关键词

destination.geo.timezone

位置的时区,例如 IANA 时区名称。

关键词

destination.ip

目标的 IP 地址(IPv4 或 IPv6)。

IP

destination.nat.ip

基于 NAT 会话(例如,从 Internet 到私有 DMZ)的目标转换 IP。通常与负载均衡器、防火墙或路由器一起使用。

IP

destination.nat.port

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

长整型

destination.packets

从目标发送到源的数据包。

长整型

destination.port

目标的端口。

长整型

destination.user.name

用户的短名称或登录名。

关键词

destination.user.name.text

destination.user.name 的多字段。

match_only_text

dns.question.name

正在查询的名称。如果名称字段包含不可打印的字符(低于 32 或高于 126),则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

关键词

dns.question.registered_domain

已剥离子域的最高注册域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 将效果不佳。

关键词

dns.question.subdomain

子域是 registered_domain 下的所有标签。如果域有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不带尾随句点。

关键词

dns.question.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名中的最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将效果不佳。

关键词

dns.question.type

正在查询的记录类型。

关键词

dns.response_code

DNS 响应代码。

关键词

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段,必须存在于所有事件中。在查询可能符合略有不同的 ECS 版本的多个索引时,此字段允许集成调整为事件的架构版本。

关键词

error.message

错误消息。

match_only_text

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实施者定义。

关键词

event.category

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如,筛选 event.category:process 会产生所有与进程活动相关的事件。此字段与 event.type 密切相关,后者用作子类别。此字段是一个数组。这将允许正确分类属于多个类别的某些事件。

关键词

event.code

此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,无论消息语言或随时间的消息措辞调整如何。一个示例是 Windows 事件 ID。

关键词

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用此差异来计算源生成事件与您的代理首次处理事件之间的时间延迟。这可用于监控您的代理或管道跟上事件源的能力。如果两个时间戳相同,则应使用 @timestamp

日期

event.dataset

事件数据集

constant_keyword

event.duration

事件的持续时间,以纳秒为单位。如果已知 event.startevent.end,则此值应为结束时间和开始时间之差。

长整型

event.end

event.end 包含事件结束或活动最后一次被观察到的日期。

日期

event.id

用于描述事件的唯一 ID。

关键词

event.ingested

事件到达中心数据存储的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按以下时间顺序排列: @timestamp < event.created < event.ingested

日期

event.kind

这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息,而无需具体说明事件的内容。例如,此字段的值将警报事件与指标事件区分开来。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制,也可能有助于了解数据是否以固定的间隔传入。

关键词

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于证明日志完整性,或者在可能需要完整日志消息(在将其拆分为多个部分之前)的地方,例如,用于重新索引。此字段未编制索引,并且禁用了 doc_values。它不可搜索,但可以从 _source 中检索。如果用户希望覆盖此项并索引此字段,请参阅Elasticsearch 参考中的字段数据类型

关键词

event.outcome

这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从生成事件的实体的角度来看,事件是表示成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可能会根据其视角填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外,请注意,并非所有事件都会有相关结果。例如,此字段通常不为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键词

event.provider

事件的来源。事件传输(如 Syslog 或 Windows 事件日志)通常会提及事件的来源。它可以是生成事件的软件的名称(例如,Sysmon、httpd)或操作系统的子系统(内核、Microsoft-Windows-Security-Auditing)。

关键词

event.reason

根据来源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。在 event.action 捕获事件的操作时,event.reason 描述了执行该操作的原因。例如,具有 event.action(拒绝请求)的 Web 代理也可能会使用其原因填充 event.reason (例如,被阻止的站点)。

关键词

event.severity

根据您的事件源,事件的数字严重性。不同严重性值的含义可能因来源和用例而异。由实施者负责确保同一来源的事件的严重性保持一致。Syslog 严重性属于 log.syslog.severity.codeevent.severity 旨在表示根据事件源(例如,防火墙、IDS)的严重性。如果事件源未发布其自身的严重性,您可以选择将 log.syslog.severity.code 复制到 event.severity

长整型

event.start

event.start 包含事件开始或活动首次被观察到的日期。

日期

event.timezone

当事件的时间戳不包含时区信息时(例如,默认 Syslog 时间戳),应填充此字段。否则它是可选的。可接受的时区格式是:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。

关键词

event.type

这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子存储桶”,当与 event.category 字段值一起使用时,可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当的分类。

关键词

file.hash.sha256

SHA256 哈希值。

关键词

file.name

文件的名称,包括扩展名,但不包括目录。

关键词

file.path

文件的完整路径,包括文件名。它应包含驱动器号(如果适用)。

关键词

file.path.text

file.path 的多字段。

match_only_text

file.size

文件大小(以字节为单位)。仅当 file.type 为“file”时相关。

长整型

host.architecture

操作系统架构。

关键词

host.containerized

如果主机是容器。

布尔值

host.domain

主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。

关键词

host.hostname

主机的hostname。它通常包含主机上的 hostname 命令返回的内容。

关键词

host.id

唯一主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 beat.name

关键词

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键词

host.name

主机的名称。它可以包含 Unix 系统上的 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键词

host.os.build

操作系统版本信息。

关键词

host.os.codename

操作系统代码名称(如果有)。

关键词

host.os.family

操作系统系列(例如,redhat、debian、freebsd、windows)。

关键词

host.os.kernel

操作系统内核版本,以原始字符串形式表示。

关键词

host.os.name

操作系统名称,不包括版本。

关键词

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台(例如,centos、ubuntu、windows)。

关键词

host.os.version

操作系统版本,以原始字符串形式表示。

关键词

host.type

主机类型。对于云提供商,这可以是机器类型,例如 t2.medium。如果是虚拟机,这可以是容器,例如,或您环境中其他有意义的信息。

关键词

http.request.bytes

请求(正文和标头)的总大小(以字节为单位)。

长整型

http.request.method

HTTP 请求方法。该值应保留其在原始事件中的大小写。例如,GETgetGeT 都是此字段的有效值。

关键词

http.request.referrer

此 HTTP 请求的引用者。

关键词

http.response.bytes

响应(正文和标头)的总大小(以字节为单位)。

长整型

http.response.status_code

HTTP 响应状态代码。

长整型

input.type

输入类型。

关键词

labels

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例:dockerk8s 标签。

对象

log.file.path

此事件的日志文件的完整路径,包括文件名。它应包含驱动器号(如果适用)。如果事件不是从日志文件中读取的,请勿填充此字段。

关键词

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性,则此级别放入 log.level。如果您的来源未指定日志级别,您可以在此处放置您的事件传输的严重性(例如,Syslog 严重性)。一些示例包括 warnerriinformational

关键词

log.offset

日志文件中条目的偏移量。

长整型

log.source.address

读取/发送日志事件的源地址。

关键词

log.syslog.facility.code

日志事件的 Syslog 数字工具,如果可用。根据 RFC 5424 和 3164,此值应为介于 0 和 23 之间的整数。

长整型

log.syslog.facility.name

日志事件的 Syslog 基于文本的工具(如果可用)。

关键词

log.syslog.hostname

最初发送 Syslog 消息的计算机的主机名、FQDN 或 IP。它来自 syslog 标头的主机名字段。根据环境,此值可能与处理事件的主机不同,特别是如果处理事件的主机充当收集器时。

关键词

log.syslog.priority

事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重性。因此,此数字应包含介于 0 和 191 之间的值。

长整型

log.syslog.severity.code

日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性,您可以选择将 Syslog 严重性复制到 event.severity

长整型

log.syslog.severity.name

如果可用,则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件源提供了不同的严重性值(例如,防火墙、IDS),则源的文本严重性应放入 log.level。如果事件源未指定不同的严重性,您可以选择将 Syslog 严重性复制到 log.level

关键词

消息

对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,形成事件的人类可读摘要。如果存在多条消息,则可以将它们组合成一条消息。

match_only_text

network.application

当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段将捕获应用程序或服务的名称。例如,原始事件标识网络连接来自 https 网络连接中的特定 Web 服务,例如 facebooktwitter。为了便于查询,字段值必须标准化为小写。

关键词

network.bytes

在两个方向上传输的总字节数。如果知道 source.bytesdestination.bytes,则 network.bytes 是它们的总和。

长整型

network.community_id

源和目标 IP 和端口以及通信中使用的协议的哈希值。这是一个与工具无关的用于标识流的标准。有关更多信息,请访问 https://github.com/corelight/community-id-spec

关键词

network.direction

网络流量的方向。从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。从基于网络或边界的监视上下文中映射事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不跨越边界,旨在描述边界内两个主机之间的通信。另请注意,“external”旨在描述两个外部主机的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。

关键词

network.iana_number

IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化协议列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。

关键词

network.inner

除了 network.vlan 字段外,还添加了 Network.inner 字段,用于在存在 q-in-q VLAN 标记时描述最内层的 VLAN。允许的字段包括 vlan.id 和 vlan.name。当使用多个 802.1q 封装将流量发送到网络传感器(例如 Zeek、Wireshark)时,通常会使用内部 vlan 字段。

group

network.inner.vlan.id

观察者报告的 VLAN ID。

关键词

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

关键词

network.protocol

在 OSI 模型中,这将是应用层协议。例如,httpdnsssh。为了便于查询,字段值必须标准化为小写。

关键词

network.transport

与 network.iana_number 相同,但改为使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。为了便于查询,字段值必须标准化为小写。

关键词

network.type

在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。为了便于查询,字段值必须标准化为小写。

关键词

observer.egress.interface.alias

系统报告的接口别名,通常在防火墙实现中用于例如内部、外部或 dmz 逻辑接口命名。

关键词

observer.egress.interface.id

观察者报告的接口 ID(通常为 SNMP 接口 ID)。

关键词

observer.egress.interface.name

系统报告的接口名称。

关键词

observer.egress.zone

观察者报告的出站流量网络区域,用于对出站流量的目标区域进行分类,例如内部、外部、DMZ、HR、法律等。

关键词

observer.hostname

观察者的主机名。

关键词

observer.ingress.interface.alias

系统报告的接口别名,通常在防火墙实现中用于例如内部、外部或 dmz 逻辑接口命名。

关键词

observer.ingress.interface.id

观察者报告的接口 ID(通常为 SNMP 接口 ID)。

关键词

observer.ingress.interface.name

系统报告的接口名称。

关键词

observer.ingress.zone

观察者报告的入站流量网络区域,用于对入站流量的源区域进行分类。例如,内部、外部、DMZ、HR、法律等。

关键词

observer.ip

观察者的 IP 地址。

IP

observer.name

观察者的自定义名称。这是可以指定给观察者的名称。例如,如果组织中使用了多个相同型号的防火墙,这将非常有用。如果不需要自定义名称,则可以保留该字段为空。

关键词

observer.product

观察者的产品名称。

关键词

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 forwarderfirewallidsipsproxypollersensorAPM server

关键词

observer.vendor

观察者的供应商名称。

关键词

observer.version

观察者版本。

关键词

process.name

进程名称。有时也称为程序名称或类似名称。

关键词

process.name.text

process.name 的多字段。

match_only_text

process.pid

进程 ID。

长整型

related.hash

在您的事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值,可以在您不确定哈希算法是什么(因此不确定要搜索哪个键名)的情况下提供帮助。

关键词

related.hosts

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键词

related.ip

在您的事件中看到的所有 IP 地址。

IP

related.user

在事件中看到的所有用户名或其他用户标识符。

关键词

rule.category

使用规则的实体用于检测此事件的分类值关键字。

关键词

rule.id

在代理、观察者或使用规则的其他实体范围内唯一的规则 ID,用于检测此事件。

关键词

rule.name

生成事件的规则或签名的名称。

关键词

rule.ruleset

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

关键词

server.address

某些事件服务器地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于它是哪个。

关键词

server.domain

服务器系统的域名。此值可以是主机名、完全限定的域名或另一种主机命名格式。该值可能来自原始事件,也可能是从富化中添加的。

关键词

server.ip

服务器的 IP 地址(IPv4 或 IPv6)。

IP

server.port

服务器的端口。

长整型

server.user.name

用户的短名称或登录名。

关键词

server.user.name.text

server.user.name 的多字段。

match_only_text

service.id

正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 service.id 应相同。此 ID 应唯一标识服务。这使得可以关联一个特定服务的日志和指标,而不管哪个特定节点发出了事件。请注意,如果您需要查看来自服务的某个特定主机的事件,则应改为筛选该 host.namehost.id

关键词

source.address

某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后,应将其复制到 .ip.domain,具体取决于它是哪个。

关键词

source.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

长整型

source.as.organization.name

组织名称。

关键词

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.bytes

从源发送到目标的字节数。

长整型

source.domain

源系统的域名。此值可以是主机名、完全限定的域名或另一种主机命名格式。该值可能来自原始事件,也可能是从富化中添加的。

关键词

source.geo.city_name

城市名称。

关键词

source.geo.continent_code

表示大陆名称的两位字母代码。

关键词

source.geo.continent_name

大陆的名称。

关键词

source.geo.country_iso_code

国家/地区 ISO 代码。

关键词

source.geo.country_name

国家/地区名称。

关键词

source.geo.location

经度和纬度。

地理点

source.geo.postal_code

与该位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码,并且在各个国家/地区之间差异很大。

关键词

source.geo.region_iso_code

区域 ISO 代码。

关键词

source.geo.region_name

区域名称。

关键词

source.geo.timezone

位置的时区,例如 IANA 时区名称。

关键词

source.ip

源的 IP 地址(IPv4 或 IPv6)。

IP

source.nat.ip

基于源 NAT 会话的源的已转换 IP(例如,内部客户端到 Internet)。通常,连接会遍历负载均衡器、防火墙或路由器。

IP

source.nat.port

基于源 NAT 会话的源的已转换端口。(例如,内部客户端到 Internet)。通常与负载均衡器、防火墙或路由器一起使用。

长整型

source.packets

从源发送到目标的包数。

长整型

source.port

源的端口。

长整型

source.user.group.name

组的名称。

关键词

source.user.name

用户的短名称或登录名。

关键词

source.user.name.text

source.user.name 的多字段。

match_only_text

tags

用于标记每个事件的关键字列表。

关键词

url.domain

URL 的域,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到 domain 字段。如果 URL 包含由 [] (IETF RFC 2732) 包围的文字 IPv6 地址,则 [] 字符也应捕获在 domain 字段中。

关键词

url.extension

该字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,值必须为“png”,而不是“.png”。请注意,当文件名具有多个扩展名 (example.tar.gz) 时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。

关键词

url.fragment

# 之后 URL 的部分,例如“top”。# 不是片段的一部分。

关键词

url.full

如果完整 URL 对您的用例很重要,则应将它们存储在 url.full 中,无论此字段是重新构造还是存在于事件源中。

wildcard

url.full.text

url.full 的多字段。

match_only_text

url.original

事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。

wildcard

url.original.text

url.original 的多字段。

match_only_text

url.password

请求的密码。

关键词

url.path

请求的路径,例如 "/search"。

wildcard

url.port

请求的端口,例如 443。

长整型

url.query

query 字段描述请求的查询字符串,例如 "q=elasticsearch"。查询字符串中不包含 ?。如果 URL 不包含 ?,则没有 query 字段。如果存在 ? 但没有查询,则 query 字段存在且为空字符串。可以使用 exists 查询来区分这两种情况。

关键词

url.registered_domain

最高的注册 URL 域,已去除子域。例如,"foo.example.com" 的注册域是 "example.com"。可以通过诸如公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定此值。尝试仅取最后两个标签来近似此值,对于诸如 "co.uk" 之类的 TLD 将不起作用。

关键词

url.scheme

请求的方案,例如 "https"。注意:: 不是方案的一部分。

关键词

url.subdomain

完全限定域名中的子域名部分包括除 registered_domain 下的主机名之外的所有名称。在部分限定的域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下的所有名称。例如,"http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]" 的子域名部分是 "east"。如果域名具有多个级别的子域,例如 "sub2.sub1.example.com",则子域字段应包含 "sub2.sub1",不带尾随句点。

关键词

url.top_level_domain

有效顶级域 (eTLD),也称为域后缀,是域名中的最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将效果不佳。

关键词

url.username

请求的用户名。

关键词

user.email

用户的电子邮件地址。

关键词

user.id

用户的唯一标识符。

关键词

user.name

用户的短名称或登录名。

关键词

user.name.text

user.name 的多字段。

match_only_text

user_agent.original

未解析的 user_agent 字符串。

关键词

user_agent.original.text

user_agent.original 的多字段。

match_only_text

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.2.0

增强 (查看拉取请求)
允许 @custom 管道访问 event.original 而无需设置 preserve_original_event。

8.11.0 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包规范更新到 3.0.3。

8.10.1 或更高版本

1.0.1

增强 (查看拉取请求)
已更改所有者

8.10.1 或更高版本

1.0.0

增强 (查看拉取请求)
将软件包作为 GA 版本发布。

8.10.1 或更高版本

0.10.0

增强 (查看拉取请求)
将仪表板添加到集成

0.9.0

增强 (查看拉取请求)
ECS 版本已更新至 8.11.0。

0.8.0

增强 (查看拉取请求)
改进 event.original 检查,以避免在设置时出错。

0.7.1

错误修复 (查看拉取请求)
修复从 ECS 导入的空组的映射

0.7.0

增强 (查看拉取请求)
设置 community 所有者类型。

0.6.0

增强 (查看拉取请求)
ECS 版本已更新至 8.10.0。

0.5.0

增强 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了带点的 YAML 键。将 owner.type: elastic 添加到软件包清单。

0.4.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并显示在安全解决方案 UI 中。

0.3.0

增强 (查看拉取请求)
添加对 network.bytes 和 network.packets 的解析

0.2.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.9.0。

0.1.2

错误修复 (查看拉取请求)
修复清单中的接口变量,并更正重复的 _conf 字段

0.1.1

错误修复 (查看拉取请求)
修复默认的摄取管道中的错误

0.1.0

增强 (查看拉取请求)
添加对会话统计事件的支持

0.0.1

增强 (查看拉取请求)
软件包的初始草案

« Netscout 集成 Atlassian »