« AWS API 网关 AWS Health »
Elastic 文档 Elastic 集成 AWS 集成

GuardDuty

编辑

GuardDuty

编辑

版本

2.36.1 (查看全部)

兼容的 Kibana 版本

8.16.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观察性

订阅级别
这是什么?

基本

概述

编辑

Amazon GuardDuty 集成从 Amazon GuardDuty Findings REST API 收集和解析数据。

Amazon GuardDuty 集成可以使用三种不同的模式来收集数据

  • HTTP REST API - Amazon GuardDuty 将日志直接推送到 HTTP REST API。
  • AWS S3 轮询 - Amazon GuardDuty 将数据写入 S3,Elastic Agent 通过列出其内容和读取新文件来轮询 S3 存储桶。
  • AWS S3 SQS - Amazon GuardDuty 将数据写入 S3,S3 将新的对象通知推送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。在此模式下可以使用多个 Agent。

要求

编辑

您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),也可以在自己的硬件上自行管理 Elastic Stack。

建议使用 AWS SQS 进行 Amazon GuardDuty。

兼容性

编辑
  1. 此模块的最低兼容版本是 Elastic Agent 8.6.0

  2. 当前集成版本中支持以下 GuardDuty 资源类型

    序号 资源类型

    1

    accessKeyDetails

    2

    containerDetails

    3

    ebsVolumeDetails

    4

    ecsClusterDetails

    5

    eksClusterDetails

    6

    instanceDetails

    7

    kubernetesDetails

    8

    s3BucketDetails

    9

    rdsDbInstanceDetails

    10

    rdsDbUserDetails

  3. 当前集成版本中支持以下 GuardDuty 服务操作类型

    序号 服务操作类型

    1

    awsApiCallAction

    2

    dnsRequestAction

    3

    kubernetesApiCallAction

    4

    networkConnectionAction

    5

    portProbeAction

    6

    rdsLoginAttemptAction

设置

编辑
要从 AWS S3 存储桶收集数据,请按照以下步骤操作
编辑
  • 配置数据转发器以将数据摄取到 AWS S3 存储桶中。但是,用户可以根据需要设置参数“存储桶列表前缀”。
要从 AWS SQS 收集数据,请按照以下步骤操作
编辑
  1. 如果尚未配置将数据转发到 AWS S3 存储桶,则首先按照上述文档中的说明设置 AWS S3 存储桶。

  2. 要设置 SQS 队列,请按照 文档中提到的“步骤 1:创建 Amazon SQS 队列”进行操作。

    • 在创建 SQS 队列时,请提供在创建 AWS S3 存储桶后生成的相同存储桶 ARN。

  3. 设置 S3 存储桶的事件通知。请参考此指南

    • 用户必须对 guardduty 数据流执行步骤 3,并且前缀参数应设置为与之前创建的 S3 存储桶列表前缀相同。例如,guardduty 数据流的 logs/
    • 对于已创建的所有事件通知,选择事件类型为 s3:ObjectCreated:*,选择目标类型 SQS 队列,然后选择在步骤 2 中创建的队列。

注意

  • 上述 AWS S3 和 SQS 输入类型的凭证应根据输入配置指南进行配置。
  • 在这种情况下,通过 AWS S3 存储桶和 AWS SQS 进行数据收集是互斥的。
要从 Amazon GuardDuty API 收集数据,用户必须具有访问密钥和秘密密钥。要创建 API 令牌,请按照以下步骤操作
编辑
  1. 登录到 https://console.aws.amazon.com/
  2. 转到 https://console.aws.amazon.com/iam/ 以访问 IAM 控制台。
  3. 在导航菜单上,选择“用户”。
  4. 选择您的 IAM 用户名。
  5. 从“安全凭证”选项卡中选择“创建访问密钥”。
  6. 要查看新的访问密钥,请选择“显示”。

注意

编辑
  • 当前集成包需要秘密访问密钥和访问密钥 ID。

日志

编辑
GuardDuty
编辑

这是 GuardDuty 数据流。

示例

guardduty 的示例事件如下所示

{
    "@timestamp": "2022-11-22T12:22:20.938Z",
    "agent": {
        "ephemeral_id": "7b37f535-5ec4-4b95-a393-f3852061d4ac",
        "id": "9e5875f3-d206-43b3-b24e-5a5096e50846",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.11.0"
    },
    "aws": {
        "guardduty": {
            "account_id": "123412341234",
            "arn": "arn:aws:guardduty:us-east-1:123412341234:detector/12341234e19ce5461eabcd1234abcd1234/finding/43b6abcdeabcdeabcde1234562176924",
            "created_at": "2022-11-17T09:33:19.228Z",
            "description": "Kubernetes API commonly used in Discovery tactics was invoked on cluster GeneratedFindingEKSClusterName from Tor exit node IP address 175.16.199.1.",
            "id": "e0c22973b012f3af67ac593443e920ff",
            "partition": "aws",
            "region": "us-east-1",
            "resource": {
                "access_key_details": {
                    "accesskey_id": "GeneratedFindingAccessKeyId",
                    "principal_id": "GeneratedFindingPrincipalId",
                    "user": {
                        "name": "GeneratedFindingUserName",
                        "type": "Role"
                    }
                },
                "eks_cluster_details": {
                    "arn": "GeneratedFindingEKSClusterArn",
                    "created_at": "2021-11-03T18:00:10.342Z",
                    "name": "GeneratedFindingEKSClusterName",
                    "status": "ACTIVE",
                    "tags": [
                        {
                            "key": "GeneratedFindingEKSClusterTag1",
                            "value": "GeneratedFindingEKSClusterTagValue1"
                        },
                        {
                            "key": "GeneratedFindingEKSClusterTag2",
                            "value": "GeneratedFindingEKSClusterTagValue2"
                        },
                        {
                            "key": "GeneratedFindingEKSClusterTag3",
                            "value": "GeneratedFindingEKSClusterTagValue3"
                        }
                    ],
                    "vpcid": "GeneratedFindingEKSClusterVpcId"
                },
                "kubernetes_details": {
                    "kubernetes_user_details": {
                        "groups": [
                            "GeneratedFindingUserGroup"
                        ],
                        "uid": "GeneratedFindingUID",
                        "user_name": "GeneratedFindingUserName"
                    }
                },
                "type": "EKSCluster"
            },
            "schema_version": "2.0",
            "service": {
                "action": {
                    "kubernetes_api_call_action": {
                        "remote_ip_details": {
                            "city": {
                                "name": "GeneratedFindingCityName"
                            },
                            "country": {
                                "name": "GeneratedFindingCountryName"
                            },
                            "geo_location": {
                                "lat": 0,
                                "lon": 0
                            },
                            "ip_address_v4": "175.16.199.1",
                            "organization": {
                                "asn": "0",
                                "asnorg": "GeneratedFindingASNOrg",
                                "isp": "GeneratedFindingISP",
                                "org": "GeneratedFindingORG"
                            }
                        },
                        "request_uri": "GeneratedFindingRequestURI",
                        "source_ips": [
                            "175.16.199.1"
                        ],
                        "status_code": 200,
                        "verb": "list"
                    },
                    "type": "KUBERNETES_API_CALL"
                },
                "additional_info": {
                    "sample": true,
                    "threatListName": "GeneratedFindingThreatListName",
                    "threatName": "GeneratedFindingThreatName",
                    "type": "default",
                    "value": "{\"threatName\":\"GeneratedFindingThreatName\",\"threatListName\":\"GeneratedFindingThreatListName\",\"sample\":true}"
                },
                "archived": false,
                "count": 2,
                "detector_id": "12341234e19ce5461eabcd1234abcd1234",
                "event": {
                    "first_seen": "2022-11-17T09:33:19.000Z",
                    "last_seen": "2022-11-22T12:22:20.000Z"
                },
                "evidence": {
                    "threat_intelligence_details": [
                        {
                            "threat": {
                                "list_name": "GeneratedFindingThreatListName",
                                "names": [
                                    "GeneratedFindingThreatName"
                                ]
                            }
                        }
                    ]
                },
                "resource_role": "TARGET",
                "service_name": "guardduty"
            },
            "severity": {
                "code": 5,
                "value": "Medium"
            },
            "title": "Kubernetes API commonly used in Discovery tactics invoked from a Tor exit node IP address.",
            "type": "Discovery:Kubernetes/TorIPCaller",
            "updated_at": "2022-11-22T12:22:20.938Z"
        }
    },
    "cloud": {
        "account": {
            "id": "123412341234"
        },
        "provider": "aws",
        "region": "us-east-1",
        "service": {
            "name": "guardduty"
        }
    },
    "data_stream": {
        "dataset": "aws.guardduty",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "9e5875f3-d206-43b3-b24e-5a5096e50846",
        "snapshot": false,
        "version": "8.11.0"
    },
    "event": {
        "action": "KUBERNETES_API_CALL",
        "agent_id_status": "verified",
        "created": "2022-11-17T09:33:19.228Z",
        "dataset": "aws.guardduty",
        "end": "2022-11-22T12:22:20.000Z",
        "id": "e0c22973b012f3af67ac593443e920ff",
        "ingested": "2023-12-14T11:38:35Z",
        "kind": [
            "event"
        ],
        "original": "{\"accountId\":\"123412341234\",\"arn\":\"arn:aws:guardduty:us-east-1:123412341234:detector/12341234e19ce5461eabcd1234abcd1234/finding/43b6abcdeabcdeabcde1234562176924\",\"createdAt\":\"2022-11-17T09:33:19.228Z\",\"description\":\"Kubernetes API commonly used in Discovery tactics was invoked on cluster GeneratedFindingEKSClusterName from Tor exit node IP address 175.16.199.1.\",\"id\":\"e0c22973b012f3af67ac593443e920ff\",\"partition\":\"aws\",\"region\":\"us-east-1\",\"resource\":{\"accessKeyDetails\":{\"accessKeyId\":\"GeneratedFindingAccessKeyId\",\"principalId\":\"GeneratedFindingPrincipalId\",\"userName\":\"GeneratedFindingUserName\",\"userType\":\"Role\"},\"eksClusterDetails\":{\"arn\":\"GeneratedFindingEKSClusterArn\",\"createdAt\":1635962410.342,\"name\":\"GeneratedFindingEKSClusterName\",\"status\":\"ACTIVE\",\"tags\":[{\"key\":\"GeneratedFindingEKSClusterTag1\",\"value\":\"GeneratedFindingEKSClusterTagValue1\"},{\"key\":\"GeneratedFindingEKSClusterTag2\",\"value\":\"GeneratedFindingEKSClusterTagValue2\"},{\"key\":\"GeneratedFindingEKSClusterTag3\",\"value\":\"GeneratedFindingEKSClusterTagValue3\"}],\"vpcId\":\"GeneratedFindingEKSClusterVpcId\"},\"kubernetesDetails\":{\"kubernetesUserDetails\":{\"groups\":[\"GeneratedFindingUserGroup\"],\"uid\":\"GeneratedFindingUID\",\"username\":\"GeneratedFindingUserName\"},\"kubernetesWorkloadDetails\":null},\"resourceType\":\"EKSCluster\"},\"schemaVersion\":\"2.0\",\"service\":{\"action\":{\"actionType\":\"KUBERNETES_API_CALL\",\"kubernetesApiCallAction\":{\"remoteIpDetails\":{\"city\":{\"cityName\":\"GeneratedFindingCityName\"},\"country\":{\"countryName\":\"GeneratedFindingCountryName\"},\"geoLocation\":{\"lat\":0,\"lon\":0},\"ipAddressV4\":\"175.16.199.1\",\"organization\":{\"asn\":\"0\",\"asnOrg\":\"GeneratedFindingASNOrg\",\"isp\":\"GeneratedFindingISP\",\"org\":\"GeneratedFindingORG\"}},\"requestUri\":\"GeneratedFindingRequestURI\",\"sourceIPs\":[\"175.16.199.1\"],\"statusCode\":200,\"userAgent\":\"\",\"verb\":\"list\"}},\"additionalInfo\":{\"sample\":true,\"threatListName\":\"GeneratedFindingThreatListName\",\"threatName\":\"GeneratedFindingThreatName\",\"type\":\"default\",\"value\":\"{\\\"threatName\\\":\\\"GeneratedFindingThreatName\\\",\\\"threatListName\\\":\\\"GeneratedFindingThreatListName\\\",\\\"sample\\\":true}\"},\"archived\":false,\"count\":2,\"detectorId\":\"12341234e19ce5461eabcd1234abcd1234\",\"eventFirstSeen\":\"2022-11-17T09:33:19.000Z\",\"eventLastSeen\":\"2022-11-22T12:22:20.000Z\",\"evidence\":{\"threatIntelligenceDetails\":[{\"threatListName\":\"GeneratedFindingThreatListName\",\"threatNames\":[\"GeneratedFindingThreatName\"]}]},\"resourceRole\":\"TARGET\",\"serviceName\":\"guardduty\"},\"severity\":5,\"title\":\"Kubernetes API commonly used in Discovery tactics invoked from a Tor exit node IP address.\",\"type\":\"Discovery:Kubernetes/TorIPCaller\",\"updatedAt\":\"2022-11-22T12:22:20.938Z\"}",
        "severity": 5,
        "start": "2022-11-17T09:33:19.000Z",
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "httpjson"
    },
    "message": "Kubernetes API commonly used in Discovery tactics was invoked on cluster GeneratedFindingEKSClusterName from Tor exit node IP address 175.16.199.1.",
    "related": {
        "ip": [
            "175.16.199.1"
        ],
        "user": [
            "GeneratedFindingPrincipalId",
            "GeneratedFindingUserName",
            "GeneratedFindingUID"
        ]
    },
    "rule": {
        "category": "Discovery",
        "name": "Discovery:Kubernetes/TorIPCaller",
        "ruleset": "Discovery:Kubernetes"
    },
    "source": {
        "address": [
            "175.16.199.1"
        ],
        "as": {
            "number": [
                0
            ],
            "organization": {
                "name": [
                    "GeneratedFindingASNOrg"
                ]
            }
        },
        "geo": {
            "city_name": [
                "GeneratedFindingCityName"
            ],
            "country_name": [
                "GeneratedFindingCountryName"
            ],
            "location": [
                {
                    "lat": 0,
                    "lon": 0
                }
            ]
        },
        "ip": [
            "175.16.199.1"
        ]
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "aws-guardduty"
    ],
    "user": {
        "id": [
            "GeneratedFindingPrincipalId",
            "GeneratedFindingUID"
        ],
        "name": [
            "GeneratedFindingUserName"
        ],
        "roles": [
            "GeneratedFindingUserGroup"
        ]
    }
}

ECS 字段参考

有关 ECS 字段的详细信息,请参阅以下文档

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

aws.guardduty.account_id

生成发现结果的帐户 ID。

关键字

aws.guardduty.arn

发现结果的 ARN。

关键字

aws.guardduty.confidence

发现结果的置信度评分。

双精度

aws.guardduty.created_at

创建发现结果的时间和日期。

日期

aws.guardduty.description

发现结果的描述。

文本

aws.guardduty.id

发现结果的 ID。

关键字

aws.guardduty.partition

与发现结果关联的分区。

关键字

aws.guardduty.region

生成发现结果的区域。

关键字

aws.guardduty.resource.access_key_details.accesskey_id

用户的访问密钥 ID。

关键字

aws.guardduty.resource.access_key_details.principal_id

用户的主体 ID。

关键字

aws.guardduty.resource.access_key_details.user.name

用户的名称。

关键字

aws.guardduty.resource.access_key_details.user.type

用户的类型。

关键字

aws.guardduty.resource.container_details.container_runtime

用于运行容器的容器运行时(例如,Docker 或 containerd)。

关键字

aws.guardduty.resource.container_details.id

容器 ID。

关键字

aws.guardduty.resource.container_details.image.prefix

最后一个斜杠之前的镜像名称的一部分。例如,public.ecr.aws/amazonlinux/amazonlinux:latest 的 imagePrefix 将为 public.ecr.aws/amazonlinux。如果镜像名称是相对的且没有斜杠,则此字段为空。

关键字

aws.guardduty.resource.container_details.image.value

容器镜像。

关键字

aws.guardduty.resource.container_details.name

容器名称。

关键字

aws.guardduty.resource.container_details.security_context.privileged

容器是否为特权容器。

布尔值

aws.guardduty.resource.container_details.volume_mounts.mount_path

卷挂载路径。

关键字

aws.guardduty.resource.container_details.volume_mounts.name

卷挂载名称。

关键字

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.device_name

EBS 卷的设备名称。

关键字

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.encryption_type

EBS 卷加密类型。

关键字

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.kmskey_arn

用于加密 EBS 卷的 KMS 密钥 Arn。

关键字

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.snapshot_arn

EBS 卷的快照 Arn。

关键字

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.volume.arn

EBS 卷 Arn 信息。

关键字

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.volume.size_in_gb

EBS 卷大小(以 GB 为单位)。

长整型

aws.guardduty.resource.ebs_volume_details.scanned_volume_details.volume.type

EBS 卷类型。

关键字

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.device_name

EBS 卷的设备名称。

关键字

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.encryption_type

EBS 卷加密类型。

关键字

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.kmskey_arn

用于加密 EBS 卷的 KMS 密钥 Arn。

关键字

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.snapshot_arn

EBS 卷的快照 Arn。

关键字

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.volume.arn

EBS 卷 Arn 信息。

关键字

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.volume.size_in_gb

EBS 卷大小(以 GB 为单位)。

长整型

aws.guardduty.resource.ebs_volume_details.skipped_volume_details.volume.type

EBS 卷类型。

关键字

aws.guardduty.resource.ecs_cluster_details.active_services_count

在 ACTIVE 状态下在集群上运行的服务数量。

长整型

aws.guardduty.resource.ecs_cluster_details.arn

标识集群的 Amazon 资源名称 (ARN)。

关键字

aws.guardduty.resource.ecs_cluster_details.name

ECS 集群的名称。

关键字

aws.guardduty.resource.ecs_cluster_details.registered_container_instances_count

注册到集群的容器实例数量。

长整型

aws.guardduty.resource.ecs_cluster_details.running_tasks_count

集群中处于 RUNNING 状态的任务数。

长整型

aws.guardduty.resource.ecs_cluster_details.status

ECS 集群的状态。

关键字

aws.guardduty.resource.ecs_cluster_details.tags.key

EC2 实例标签键。

关键字

aws.guardduty.resource.ecs_cluster_details.tags.value

EC2 实例标签值。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.arn

任务的 Amazon 资源名称 (ARN)。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.container_runtime

用于运行容器的容器运行时(例如,Docker 或 containerd)。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.id

容器 ID。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.image.prefix

最后一个斜杠之前的镜像名称的一部分。例如,public.ecr.aws/amazonlinux/amazonlinux:latest 的 imagePrefix 将为 public.ecr.aws/amazonlinux。如果镜像名称是相对的且没有斜杠,则此字段为空。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.image.value

容器镜像。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.name

容器名称。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.security_context.privileged

容器是否为特权容器。

布尔值

aws.guardduty.resource.ecs_cluster_details.task_details.containers.volume_mounts.mount_path

卷挂载路径。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.containers.volume_mounts.name

卷挂载名称。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.created_at

创建任务时的 Unix 时间戳。

日期

aws.guardduty.resource.ecs_cluster_details.task_details.definitionarn

创建任务的任务定义的 ARN。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.group

与任务关联的任务组的名称。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.started_at

任务启动时的 Unix 时间戳。

日期

aws.guardduty.resource.ecs_cluster_details.task_details.started_by

包含启动任务时指定的标签。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.tags.key

EC2 实例标签键。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.tags.value

EC2 实例标签值。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.version

任务的版本计数器。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.volumes.host_path.path

卷映射到的主机上的文件或目录的路径。

关键字

aws.guardduty.resource.ecs_cluster_details.task_details.volumes.name

卷名称。

关键字

aws.guardduty.resource.eks_cluster_details.arn

EKS 集群 ARN。

关键字

aws.guardduty.resource.eks_cluster_details.created_at

创建 EKS 集群时的时间戳。

日期

aws.guardduty.resource.eks_cluster_details.name

EKS 集群名称。

关键字

aws.guardduty.resource.eks_cluster_details.status

EKS 集群状态。

关键字

aws.guardduty.resource.eks_cluster_details.tags.key

EC2 实例标签键。

关键字

aws.guardduty.resource.eks_cluster_details.tags.value

EC2 实例标签值。

关键字

aws.guardduty.resource.eks_cluster_details.vpcid

EKS 集群所连接的 VPC ID。

关键字

aws.guardduty.resource.instance_details.availability_zone

EC2 实例的可用区。

关键字

aws.guardduty.resource.instance_details.iaminstance_profile.arn

EC2 实例的配置文件 ARN。

关键字

aws.guardduty.resource.instance_details.iaminstance_profile.id

EC2 实例的配置文件 ID。

关键字

aws.guardduty.resource.instance_details.image.description

EC2 实例的镜像描述。

关键字

aws.guardduty.resource.instance_details.image.id

EC2 实例的镜像 ID。

关键字

aws.guardduty.resource.instance_details.instance.id

EC2 实例的 ID。

关键字

aws.guardduty.resource.instance_details.instance.state

EC2 实例的状态。

关键字

aws.guardduty.resource.instance_details.instance.type

EC2 实例的类型。

关键字

aws.guardduty.resource.instance_details.launch_time

EC2 实例的启动时间。

日期

aws.guardduty.resource.instance_details.network_interfaces.ipv6_addresses

EC2 实例的 IPv6 地址列表。

ip

aws.guardduty.resource.instance_details.network_interfaces.network_interface_id

网络接口的 ID。

关键字

aws.guardduty.resource.instance_details.network_interfaces.private.dns_name

EC2 实例的私有 DNS 名称。

关键字

aws.guardduty.resource.instance_details.network_interfaces.private.ip_address

EC2 实例的私有 IP 地址。

ip

aws.guardduty.resource.instance_details.network_interfaces.private.ip_addresses.private.dns_name

EC2 实例的私有 DNS 名称。

关键字

aws.guardduty.resource.instance_details.network_interfaces.private.ip_addresses.private.ip_address

EC2 实例的私有 IP 地址。

ip

aws.guardduty.resource.instance_details.network_interfaces.public.dns_name

EC2 实例的公共 DNS 名称。

关键字

aws.guardduty.resource.instance_details.network_interfaces.public.ip

EC2 实例的公共 IP 地址。

ip

aws.guardduty.resource.instance_details.network_interfaces.security_groups.group.id

EC2 实例的安全组 ID。

关键字

aws.guardduty.resource.instance_details.network_interfaces.security_groups.group.name

EC2 实例的安全组名称。

关键字

aws.guardduty.resource.instance_details.network_interfaces.subnet_id

EC2 实例的子网 ID。

关键字

aws.guardduty.resource.instance_details.network_interfaces.vpc_id

EC2 实例的 VPC ID。

关键字

aws.guardduty.resource.instance_details.outpost_arn

AWS Outpost 的 Amazon 资源名称 (ARN)。仅适用于 AWS Outposts 实例。

关键字

aws.guardduty.resource.instance_details.platform

EC2 实例的平台。

关键字

aws.guardduty.resource.instance_details.product_codes.product_code.id

产品代码信息。

关键字

aws.guardduty.resource.instance_details.product_codes.product_code.type

产品代码类型。

关键字

aws.guardduty.resource.instance_details.tags.key

EC2 实例标签键。

关键字

aws.guardduty.resource.instance_details.tags.value

EC2 实例标签值。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_user_details.groups

包含调用 Kubernetes API 的用户的组。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_user_details.uid

调用 Kubernetes API 的用户的用户 ID。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_user_details.user_name

调用 Kubernetes API 的用户的用户名。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.container_runtime

用于运行容器的容器运行时(例如,Docker 或 containerd)。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.id

容器 ID。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.image.prefix

最后一个斜杠之前的镜像名称的一部分。例如,public.ecr.aws/amazonlinux/amazonlinux:latest 的 imagePrefix 将为 public.ecr.aws/amazonlinux。如果镜像名称是相对的且没有斜杠,则此字段为空。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.image.value

容器镜像。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.name

容器名称。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.security_context.privileged

容器是否为特权容器。

布尔值

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.volume_mounts.mount_path

卷挂载路径。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.containers.volume_mounts.name

卷挂载名称。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.host_network

是否为工作负载中包含的 Pod 启用了 hostNetwork 标志。

布尔值

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.name

Kubernetes 工作负载名称。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.name_space

工作负载所属的 Kubernetes 命名空间。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.type

Kubernetes 工作负载类型(例如,Pod、Deployment 等)。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.uid

Kubernetes 工作负载 ID。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.volumes.host_path.path

卷映射到的主机上的文件或目录的路径。

关键字

aws.guardduty.resource.kubernetes_details.kubernetes_workload_details.volumes.name

卷名称。

关键字

aws.guardduty.resource.rdsdb_instance_details.cluster_identifier

关键字

aws.guardduty.resource.rdsdb_instance_details.engine

关键字

aws.guardduty.resource.rdsdb_instance_details.engine_version

关键字

aws.guardduty.resource.rdsdb_instance_details.instance_arn

关键字

aws.guardduty.resource.rdsdb_instance_details.instance_identifier

关键字

aws.guardduty.resource.rdsdb_user_details.application

关键字

aws.guardduty.resource.rdsdb_user_details.auth_method

关键字

aws.guardduty.resource.rdsdb_user_details.database

关键字

aws.guardduty.resource.rdsdb_user_details.ssl

关键字

aws.guardduty.resource.rdsdb_user_details.user

关键字

aws.guardduty.resource.s3_bucket_details.arn

S3 存储桶的 Amazon 资源名称 (ARN)。

关键字

aws.guardduty.resource.s3_bucket_details.created_at

创建存储桶的日期和时间。

日期

aws.guardduty.resource.s3_bucket_details.default_server_side_encryption.encryption_type

用于 S3 存储桶中对象的加密类型。

关键字

aws.guardduty.resource.s3_bucket_details.default_server_side_encryption.kms_masterkey_arn

KMS 加密密钥的 Amazon 资源名称 (ARN)。仅当存储桶 EncryptionType 为 aws:kms 时可用。

关键字

aws.guardduty.resource.s3_bucket_details.name

S3 存储桶的名称。

关键字

aws.guardduty.resource.s3_bucket_details.owner.id

存储桶所有者的规范用户 ID。有关查找规范用户 ID 的信息,请参阅查找您的账户规范用户 ID。

关键字

aws.guardduty.resource.s3_bucket_details.public_access

描述应用于 S3 存储桶的公共访问策略。

扁平化

aws.guardduty.resource.s3_bucket_details.tags.key

EC2 实例标签键。

关键字

aws.guardduty.resource.s3_bucket_details.tags.value

EC2 实例标签值。

关键字

aws.guardduty.resource.s3_bucket_details.type

描述存储桶是源存储桶还是目标存储桶。

关键字

aws.guardduty.resource.type

AWS 资源的类型。

关键字

aws.guardduty.schema_version

用于发现结果的架构版本。

关键字

aws.guardduty.service.action.aws_api_call_action.affected_resources

进行 API 调用的 AWS 账户的详细信息。此字段标识受此 API 调用影响的资源。

扁平化

aws.guardduty.service.action.aws_api_call_action.api

AWS API 名称。

关键字

aws.guardduty.service.action.aws_api_call_action.caller_type

AWS API 调用者类型。

关键字

aws.guardduty.service.action.aws_api_call_action.domain_details.domain

AWS API 调用的域信息。

关键字

aws.guardduty.service.action.aws_api_call_action.error_code

失败的 AWS API 操作的错误代码。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_account_details.account_id

远程 API 调用者的 AWS 账户 ID。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_account_details.affiliated

有关远程 API 调用者的 AWS 账户是否与您的 GuardDuty 环境相关的详细信息。如果此值为 True,则 API 调用者以某种方式隶属于您的账户。如果为 False,则 API 调用者来自您的环境之外。

布尔值

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.city.name

远程 IP 地址的城市名称。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.country.code

远程 IP 地址的国家/地区代码。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.country.name

远程 IP 地址的国家/地区名称。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.geo_location

远程 IP 地址的位置信息。

地理点

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.ip_address_v4

连接的 IPv4 远程地址。

ip

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.organization.asn

远程 IP 地址的互联网提供商的自治系统号 (ASN)。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.organization.asnorg

注册此 ASN 的组织。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.organization.isp

互联网提供商的 ISP 信息。

关键字

aws.guardduty.service.action.aws_api_call_action.remote_ip_details.organization.org

互联网提供商的名称。

关键字

aws.guardduty.service.action.aws_api_call_action.service_name

生成发现结果的 AWS 服务(GuardDuty)的名称。

关键字

aws.guardduty.service.action.aws_api_call_action.user_agent

进行 API 请求的代理。

关键字

aws.guardduty.service.action.dns_request_action.blocked

指示目标端口是否被阻止。

布尔值

aws.guardduty.service.action.dns_request_action.domain

API 请求的域信息。

关键字

aws.guardduty.service.action.dns_request_action.protocol

在提示 GuardDuty 生成发现结果的活动中观察到的网络连接协议。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.parameters

与 Kubernetes API 调用操作相关的参数。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.city.name

远程 IP 地址的城市名称。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.country.code

远程 IP 地址的国家/地区代码。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.country.name

远程 IP 地址的国家/地区名称。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.geo_location

远程 IP 地址的位置信息。

地理点

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.ip_address_v4

连接的 IPv4 远程地址。

ip

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.organization.asn

远程 IP 地址的互联网提供商的自治系统号 (ASN)。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.organization.asnorg

注册此 ASN 的组织。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.organization.isp

互联网提供商的 ISP 信息。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.remote_ip_details.organization.org

互联网提供商的名称。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.request_uri

Kubernetes API 请求 URI。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.source_ips

Kubernetes API 调用者的 IP 以及调用者与 API 端点之间的任何代理或负载均衡器的 IP。

ip

aws.guardduty.service.action.kubernetes_api_call_action.status_code

Kubernetes API 调用操作的最终 HTTP 响应代码。

长整型

aws.guardduty.service.action.kubernetes_api_call_action.user_agent

Kubernetes API 调用者的用户代理。

关键字

aws.guardduty.service.action.kubernetes_api_call_action.verb

Kubernetes API 请求 HTTP 动词。

关键字

aws.guardduty.service.action.network_connection_action.blocked

指示 EC2 是否阻止了到您的实例的网络连接。

布尔值

aws.guardduty.service.action.network_connection_action.connection_direction

网络连接方向。

关键字

aws.guardduty.service.action.network_connection_action.local_ip_details.ip_address_v4

连接的 IPv4 本地地址。

关键字

aws.guardduty.service.action.network_connection_action.local_port_details.port.name

本地连接的端口名称。

关键字

aws.guardduty.service.action.network_connection_action.local_port_details.port.value

本地连接的端口号。

长整型

aws.guardduty.service.action.network_connection_action.remote_ip_details.city.name

远程 IP 地址的城市名称。

关键字

aws.guardduty.service.action.network_connection_action.remote_ip_details.country.code

远程 IP 地址的国家/地区代码。

关键字

aws.guardduty.service.action.network_connection_action.remote_ip_details.country.name

远程 IP 地址的国家/地区名称。

关键字

aws.guardduty.service.action.network_connection_action.remote_ip_details.geo_location

远程 IP 地址的位置信息。

地理点

aws.guardduty.service.action.network_connection_action.remote_ip_details.ip_address_v4

连接的 IPv4 远程地址。

ip

aws.guardduty.service.action.network_connection_action.remote_ip_details.organization.asn

远程 IP 地址的互联网提供商的自治系统号 (ASN)。

关键字

aws.guardduty.service.action.network_connection_action.remote_ip_details.organization.asnorg

注册此 ASN 的组织。

关键字

aws.guardduty.service.action.network_connection_action.remote_ip_details.organization.isp

互联网提供商的 ISP 信息。

关键字

aws.guardduty.service.action.network_connection_action.remote_ip_details.organization.org

互联网提供商的名称。

关键字

aws.guardduty.service.action.network_connection_action.remote_port_details.port.name

远程连接的端口名称。

关键字

aws.guardduty.service.action.network_connection_action.remote_port_details.port.value

远程连接的端口号。

长整型

aws.guardduty.service.action.network_connection_action.transport

网络连接协议。

关键字

aws.guardduty.service.action.port_probe_action.blocked

指示 EC2 是否阻止了对实例的端口探测,例如使用 ACL。

布尔值

aws.guardduty.service.action.port_probe_action.port_probe_details.local_ip_details.ip_address_v4

连接的 IPv4 本地地址。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.local_port_details.port.name

本地连接的端口名称。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.local_port_details.port.value

本地连接的端口号。

长整型

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.city.name

远程 IP 地址的城市名称。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.country.code

远程 IP 地址的国家/地区代码。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.country.name

远程 IP 地址的国家/地区名称。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.geo_location

远程 IP 地址的位置信息。

地理点

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.ip_address_v4

连接的 IPv4 远程地址。

ip

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.organization.asn

远程 IP 地址的互联网提供商的自治系统号 (ASN)。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.organization.asnorg

注册此 ASN 的组织。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.organization.isp

互联网提供商的 ISP 信息。

关键字

aws.guardduty.service.action.port_probe_action.port_probe_details.remote_ip_details.organization.org

互联网提供商的名称。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.city.name

远程 IP 地址的城市名称。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.country.code

远程 IP 地址的国家/地区代码。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.country.name

远程 IP 地址的国家/地区名称。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.geo_location

远程 IP 地址的位置信息。

地理点

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.ip_address_v4

连接的 IPv4 远程地址。

ip

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.organization.asn

远程 IP 地址的互联网提供商的自治系统号 (ASN)。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.organization.asnorg

注册此 ASN 的组织。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.organization.isp

互联网提供商的 ISP 信息。

关键字

aws.guardduty.service.action.rds_login_attempt_action.remote_ip_details.organization.org

互联网提供商的名称。

关键字

aws.guardduty.service.action.type

GuardDuty 发现活动类型。

关键字

aws.guardduty.service.additional_info

包含有关生成的发现的附加信息。

扁平化

aws.guardduty.service.archived

指示此发现是否已存档。

布尔值

aws.guardduty.service.count

此发现类型出现总次数。

长整型

aws.guardduty.service.detector_id

GuardDuty 服务的检测器 ID。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.completed_at

返回恶意软件扫描的完成日期和时间。

日期

aws.guardduty.service.ebs_volume_scan_details.scan.detections.highest_severity_threat_details.count

检测到最高严重性威胁的受感染文件总数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.highest_severity_threat_details.severity

检测到的最高严重性威胁的严重性级别。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.highest_severity_threat_details.threat_name

作为恶意软件扫描的一部分检测到的最高严重性威胁的威胁名称。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.scanned_item_count.files

扫描的文件数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.scanned_item_count.total_gb

扫描用于恶意软件检测的文件的总 GB 数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.scanned_item_count.volumes

扫描的卷总数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.item_count

已识别的受感染文件总数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.shortened

确定发现是否包含每个受感染的文件路径和/或每个威胁的标志。

布尔值

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.file_paths.file.name

受感染文件的文件名。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.file_paths.file.path

受感染文件的文件路径。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.file_paths.hash

受感染文件的哈希值。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.file_paths.volume_arn

受感染文件的 EBS 卷 Arn 详细信息。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.item_count

感染给定威胁的文件总数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.name

已识别威胁的名称。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.threat_names.severity

作为恶意软件扫描的一部分识别的威胁的严重性。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threat_detected_by_name.unique_threat_name_count

作为恶意软件扫描的一部分,按名称识别的唯一威胁总数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.detections.threats_detected_item_count.files

受感染文件总数。

长整型

aws.guardduty.service.ebs_volume_scan_details.scan.id

生成发现的恶意软件扫描的唯一 ID。

关键字

aws.guardduty.service.ebs_volume_scan_details.scan.started_at

返回恶意软件扫描的开始日期和时间。

日期

aws.guardduty.service.ebs_volume_scan_details.sources

包含用于检测威胁的威胁情报来源列表。

关键字

aws.guardduty.service.ebs_volume_scan_details.trigger_finding_id

触发恶意软件扫描的 GuardDuty 发现 ID。

关键字

aws.guardduty.service.event.first_seen

提示 GuardDuty 生成此发现的活动的首次出现时间戳。

日期

aws.guardduty.service.event.last_seen

提示 GuardDuty 生成此发现的活动的最后一次出现时间戳。

日期

aws.guardduty.service.evidence.threat_intelligence_details.threat.list_name

触发发现的威胁情报列表的名称。

关键字

aws.guardduty.service.evidence.threat_intelligence_details.threat.names

触发发现的威胁情报列表中的威胁名称列表。

关键字

aws.guardduty.service.feature_name

生成发现的功能的名称。

关键字

aws.guardduty.service.resource_role

此发现的资源角色信息。

关键字

aws.guardduty.service.runtime_details.context.address_family

表示与地址关联的通信协议。例如,地址族 AF_INET 用于 IP 版本 4 协议。

关键字

aws.guardduty.service.runtime_details.context.command_line_example

可疑活动中涉及的命令行示例。

关键字

aws.guardduty.service.runtime_details.context.file_system_type

表示已挂载文件系统的类型。

关键字

aws.guardduty.service.runtime_details.context.flags

表示控制运行时操作或行为的选项。例如,文件系统挂载操作可能包含只读标志。

关键字

aws.guardduty.service.runtime_details.context.iana_protocol_number

指定地址族中的特定协议。通常,地址族中只有一个协议。例如,地址族 AF_INET 只有 IP 协议。

关键字

aws.guardduty.service.runtime_details.context.ld_preload

LD_PRELOAD 环境变量的值。

关键字

aws.guardduty.service.runtime_details.context.library_path

加载的新库的路径。

关键字

aws.guardduty.service.runtime_details.context.memory_regions

指定进程地址空间的区域,例如堆栈和堆。

关键字

aws.guardduty.service.runtime_details.context.modified_at

进程修改当前进程的时间戳。时间戳采用 UTC 日期字符串格式。

日期

aws.guardduty.service.runtime_details.context.modifying_process

有关修改当前进程的进程的信息。这适用于多种发现类型。

扁平化

aws.guardduty.service.runtime_details.context.module_file_path

加载到内核中的模块的路径。

关键字

aws.guardduty.service.runtime_details.context.module_name

加载到内核中的模块的名称。

关键字

aws.guardduty.service.runtime_details.context.module_sha256

模块的 SHA256 哈希值。

关键字

aws.guardduty.service.runtime_details.context.mount_source

容器挂载的主机上的路径。

关键字

aws.guardduty.service.runtime_details.context.mount_target

容器中映射到主机目录的路径。

关键字

aws.guardduty.service.runtime_details.context.release_agent_path

容器中修改 release agent 文件的路径。

关键字

aws.guardduty.service.runtime_details.context.runc_binary_path

所利用的 runc 实现的路径。

关键字

aws.guardduty.service.runtime_details.context.script_path

执行的脚本的路径。

关键字

aws.guardduty.service.runtime_details.context.service_name

可能已禁用的安全服务的名称。

关键字

aws.guardduty.service.runtime_details.context.shell_history_file_path

修改后的 shell 历史文件的路径。

关键字

aws.guardduty.service.runtime_details.context.socket_path

访问的套接字的路径。

关键字

aws.guardduty.service.runtime_details.context.target_process

有关其内存被当前进程覆盖的进程的信息。

扁平化

aws.guardduty.service.runtime_details.context.threat_file_path

找到威胁情报详细信息的可疑文件路径。

关键字

aws.guardduty.service.runtime_details.context.tool_category

该工具所属的类别。一些示例包括后门工具、渗透测试工具、网络扫描器和网络嗅探器。

关键字

aws.guardduty.service.runtime_details.context.tool_name

潜在可疑工具的名称。

关键字

aws.guardduty.service.runtime_details.process.euid

执行该进程的用户的有效用户 ID。

长整型

aws.guardduty.service.runtime_details.process.executable_path

进程可执行文件的绝对路径。

关键字

aws.guardduty.service.runtime_details.process.executable_sha256

进程可执行文件的 SHA256 哈希值。

关键字

aws.guardduty.service.runtime_details.process.lineage

有关进程沿袭的信息。

扁平化

aws.guardduty.service.runtime_details.process.name

进程的名称。

关键字

aws.guardduty.service.runtime_details.process.namespace_pid

子进程的 ID。

长整型

aws.guardduty.service.runtime_details.process.parent_uuid

父进程的唯一 ID。此 ID 由 GuardDuty 分配给父进程。

关键字

aws.guardduty.service.runtime_details.process.pid

进程的 ID。

长整型

aws.guardduty.service.runtime_details.process.pwd

进程的当前工作目录。

关键字

aws.guardduty.service.runtime_details.process.start_time

进程启动的时间。采用 UTC 格式。

日期

aws.guardduty.service.runtime_details.process.user

执行该进程的用户。

关键字

aws.guardduty.service.runtime_details.process.user_id

执行该进程的用户的唯一 ID。

长整型

aws.guardduty.service.runtime_details.process.uuid

GuardDuty 分配给进程的唯一 ID。

关键字

aws.guardduty.service.service_name

调用其 API 的 AWS 服务名称。

关键字

aws.guardduty.service.user_feedback

提交的有关该发现的反馈。

关键字

aws.guardduty.severity.code

发现的严重性(双精度)。

双精度

aws.guardduty.severity.value

发现的严重性。

关键字

aws.guardduty.title

发现的标题。

关键字

aws.guardduty.type

发现的类型。

关键字

aws.guardduty.updated_at

上次更新发现的时间和日期。

日期

cloud.image.id

云实例的映像 ID。

关键字

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.module

事件模块。

constant_keyword

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号(如果有)。

关键字

input.type

输入类型

关键字

log.offset

日志偏移

长整型

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

2.36.1

增强 (查看拉取请求)
添加 SQS API 调用文档和所需的 S3 权限。

8.16.0 或更高版本

2.36.0

增强 (查看拉取请求)
为应用程序负载均衡器添加 ELB 连接日志仪表板。

8.16.0 或更高版本

2.35.0

增强功能 (查看拉取请求)
为应用程序负载均衡器添加对 AWS ELB 数据集的连接日志的支持。

8.16.0 或更高版本

2.34.0

增强功能 (查看拉取请求)
添加 Lambda 事件源映射指标并改进 Lambda 仪表板以显示新指标。

8.16.0 或更高版本

2.33.0

增强功能 (查看拉取请求)
添加在使用日志组前缀来派生匹配日志组时检查链接账户的选项

8.16.0 或更高版本

2.32.0

缺陷修复 (查看拉取请求)
在 AWS CloudFront 日志中,为 IPv6 和 IPv4 地址实现了基于 grok 处理器的解析。

增强功能 (查看拉取请求)
通过 elastic-package 自动格式化所有数据流中的各种文本描述和换行符。

8.16.0 或更高版本

2.31.4

缺陷修复 (查看拉取请求)
使用 AWS Inspector 的所需权限更新文档。

8.16.0 或更高版本

2.31.3

缺陷修复 (查看拉取请求)
从 AWS 账单总估计费用镜头中删除了 reducedTimeRange 过滤器,以确保显示值。

8.16.0 或更高版本

2.31.2

缺陷修复 (查看拉取请求)
在网络负载均衡器的 ELB 数据集中添加对具有 ALPN 策略扩展的侦听器的支持。

8.16.0 或更高版本

2.31.1

缺陷修复 (查看拉取请求)
根据 CDR 工作流程的需要,将 cloud.providerevent.kindobserver.vendor 字段添加到 _source。

8.16.0 或更高版本

2.31.0

增强功能 (查看拉取请求)
改进 securityhub_findings 数据流中对云检测和响应 (CDR) 工作流程的支持。

8.16.0 或更高版本

2.30.2

缺陷修复 (查看拉取请求)
在网络负载均衡器的 ELB 数据集中添加对具有 ALPN 策略扩展的侦听器的支持。

8.15.2 或更高版本

2.30.1

缺陷修复 (查看拉取请求)
更新 AWS 仪表板面板。

8.15.2 或更高版本

2.30.0

增强功能 (查看拉取请求)
支持配置拥有账户

8.15.2 或更高版本

2.29.0

增强功能 (查看拉取请求)
在 GuardDuty 事件中添加对 service.runtimeDetails 字段的映射。

8.15.0 或更高版本

2.28.0

增强功能 (查看拉取请求)
添加对 AWS API 请求和定价信息的引用。

8.15.0 或更高版本

2.27.0

增强功能 (查看拉取请求)
改进摄取管道错误报告。

8.15.0 或更高版本

2.26.0

增强功能 (查看拉取请求)
向 related.entity 字段添加更多数据。

8.15.0 或更高版本

2.26.0-preview01

增强功能 (查看拉取请求)
添加 related.entity 字段。

2.25.1

缺陷修复 (查看拉取请求)
添加 aws.metrics_names_fingerprint 字段并将其标记为维度。

8.14.0 或更高版本

2.25.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.14.0 或更高版本

2.24.3

缺陷修复 (查看拉取请求)
修复 aws.metrics_names_fingerprint 字段。

8.14.0 或更高版本

2.24.2

缺陷修复 (查看拉取请求)
添加 aws.metrics_names_fingerprint。

8.14.0 或更高版本

2.24.1

缺陷修复 (查看拉取请求)
修复并重构了 AWS cloudfront 日志解析。

8.14.0 或更高版本

2.24.0

增强功能 (查看拉取请求)
将 dot_expander 处理器添加到指标摄取管道。

8.14.0 或更高版本

2.23.0

增强功能 (查看拉取请求)
将当前的 AWS ELB 仪表板拆分为 3 个单独的仪表板,每个仪表板都侧重于特定类型的负载均衡器 ELB、ALB 和 NLB。

8.14.0 或更高版本

2.22.1

缺陷修复 (查看拉取请求)
更新 max_number_of_messages 参数说明

8.14.0 或更高版本

2.22.0

增强功能 (查看拉取请求)
添加仪表板的全局数据集过滤器以提高性能。

8.14.0 或更高版本

2.21.0

增强功能 (查看拉取请求)
修复 route53 公共日志 grok 模式。

8.14.0 或更高版本

2.20.0

增强功能 (查看拉取请求)
添加 S3 轮询选项以将数据流用于 aws-s3 输入

8.14.0 或更高版本

2.19.0

增强功能 (查看拉取请求)
添加一个可视化面板来显示应用程序负载均衡器的入站和出站流量。

8.14.0 或更高版本

2.18.0

增强功能 (查看拉取请求)
添加 AWS Health 集成。

8.14.0 或更高版本

2.17.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。将 kibana 约束更新至 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中多余的 ECS 字段。

8.13.0 或更高版本

2.16.0

增强功能 (查看拉取请求)
将 TargetResponseTime 指标添加到 ELB 应用程序指标。

8.12.0 或更高版本

2.15.4

缺陷修复 (查看拉取请求)
修复 AWS 网络防火墙标题和描述。

8.12.0 或更高版本

2.15.3

增强功能 (查看拉取请求)
将端点 + 区域变量添加到所有基于 SQS 的 AWS 集成。

8.12.0 或更高版本

2.15.2

缺陷修复 (查看拉取请求)
修复 AWS Cloudtrail 资源字段处理。

8.12.0 或更高版本

2.15.1

缺陷修复 (查看拉取请求)
不索引空的 AWS Security Hub 响应。

8.12.0 或更高版本

2.15.0

增强功能 (查看拉取请求)
添加异步事件年龄并删除指标,并为现有 lambda 指标实现求和聚合。

8.12.0 或更高版本

2.14.2

缺陷修复 (查看拉取请求)
更新 AWS lambda 调用指标的聚合函数。

8.12.0 或更高版本

2.14.1

增强功能 (查看拉取请求)
记录账单数据流限制。

8.12.0 或更高版本

2.14.0

增强功能 (查看拉取请求)
添加在 AWS 账单上设置处理器和主导选举的功能。

8.12.0 或更高版本

2.13.1

增强功能 (查看拉取请求)
更新延迟参数说明

8.12.0 或更高版本

2.13.0

增强功能 (查看拉取请求)
添加 Amazon MSK 集成

8.12.0 或更高版本

2.12.2

缺陷修复 (查看拉取请求)
修复了在“严重性随时间推移”仪表板中使用“_id”字段聚合数据的问题。

8.12.0 或更高版本

2.12.1

增强功能 (查看拉取请求)
添加 cloudsecurity_cdr 子类别标签。

8.12.0 或更高版本

2.12.0

增强功能 (查看拉取请求)
为敏感字段启用secret

8.12.0 或更高版本

2.11.3

缺陷修复 (查看拉取请求)
修复 GuardDuty 数据流的查询范围计算。

8.10.2 或更高版本

2.11.2

缺陷修复 (查看拉取请求)
删除硬编码的 event.dataset 字段并改用 ecs。

8.10.2 或更高版本

2.11.1

增强功能 (查看拉取请求)
改进毫秒的措辞。

8.10.2 或更高版本

2.11.0

增强功能 (查看拉取请求)
将总估计费用面板转换为新的指标可视化。

8.10.2 或更高版本

2.10.2

缺陷修复 (查看拉取请求)
修复维度指纹字段

8.10.2 或更高版本

2.10.1

缺陷修复 (查看拉取请求)
修复 exclude_files 模式。

8.10.2 或更高版本

2.10.0

增强功能 (查看拉取请求)
将“AWS Redshift 指标概述”可视化转换为新指标。

8.10.2 或更高版本

2.9.1

错误修复 (查看拉取请求)
更改 SQS 指标统计方法,包括将 ApproximateAgeOfOldestMessage 从平均值更改为最大值,将 NumberOfMessagesDeleted、NumberOfEmptyReceives、NumberOfMessagesReceived 和 NumberOfMessagesSent 从平均值更改为总和。

8.9.0 或更高版本

2.9.0

增强 (查看拉取请求)
将请求跟踪器日志计数限制为 5。

8.9.0 或更高版本

2.8.6

错误修复 (查看拉取请求)
从 Beats 输入添加缺失的字段

8.9.0 或更高版本

2.8.5

增强 (查看拉取请求)
使用饼图更新甜甜圈图,以获得更好的表示

8.9.0 或更高版本

2.8.4

错误修复 (查看拉取请求)
删除未使用的 aws..metrics..* 和 aws.s3.bucket.name

8.9.0 或更高版本

2.8.3

错误修复 (查看拉取请求)
包含 dns.answers 子字段的文档和映射

错误修复 (查看拉取请求)
修复标签和动态指标字段的映射

8.9.0 或更高版本

2.8.2

错误修复 (查看拉取请求)
向重命名处理器添加空值检查和 ignore_missing 检查

8.9.0 或更高版本

2.8.1

错误修复 (查看拉取请求)
修复 AWS 账单概览仪表板下显示的错误账单指标。

8.9.0 或更高版本

2.8.0

增强 (查看拉取请求)
允许配置 guardduty、inspector 和 security hub 数据流的 TLD。

8.9.0 或更高版本

2.7.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成的仪表板和已保存的搜索,并在安全解决方案 UI 中显示。

增强 (查看拉取请求)
将包规范升级到 3.0.0。

错误修复 (查看拉取请求)
修复重复和无效的字段定义。

错误修复 (查看拉取请求)
添加缺失的仪表板过滤器。

8.9.0 或更高版本

2.6.1

错误修复 (查看拉取请求)
修复 AWS API 网关日志仪表板镜头

8.9.0 或更高版本

2.6.0

增强 (查看拉取请求)
ECS 版本更新到 8.10.0。

8.9.0 或更高版本

2.5.0

增强 (查看拉取请求)
更新 Cloudtrail 数据流以支持 tlsDetails 字段

8.9.0 或更高版本

2.4.1

错误修复 (查看拉取请求)
修复 Security Hub 发现结果以遵守 ECS 允许的值。

8.9.0 或更高版本

2.4.0

错误修复 (查看拉取请求)
为每种 API 类型添加 AWS API 网关指标仪表板,并添加确保数据一致性的其他过滤器

8.9.0 或更高版本

2.3.0

增强 (查看拉取请求)
将 include_linked_accounts 默认值更改为 true

8.9.0 或更高版本

2.2.1

错误修复 (查看拉取请求)
修复 GuardDuty API 调用参数。

8.9.0 或更高版本

2.2.0

增强 (查看拉取请求)
添加 AWS API 网关指标仪表板阶段过滤器、控制组并进行清理

8.9.0 或更高版本

2.1.2

错误修复 (查看拉取请求)
修复 AWS API 网关指标仪表板

8.9.0 或更高版本

2.1.1

增强 (查看拉取请求)
改进 AWS API 网关仪表板

8.9.0 或更高版本

2.1.0

增强 (查看拉取请求)
默认情况下为 EC2 指标数据流启用 TSDB。这可以提高存储利用率和查询性能。有关更多详细信息,请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html

8.9.0 或更高版本

2.0.0

增强 (查看拉取请求)
从 AWS CloudWatch 集成中删除已弃用的“通过 S3 进行 Cloudwatch”选项。如果您正在使用它,请注意,一旦您更新,日志将不再通过此路由引入。

8.9.0 或更高版本

1.53.5

增强 (查看拉取请求)
在 EC2 数据流字段中设置指标类型。

8.9.0 或更高版本

1.53.4

增强 (查看拉取请求)
向 EC2 数据流添加维度字段。

8.9.0 或更高版本

1.53.3

增强 (查看拉取请求)
为 ec2 添加缺失的字段定义

8.9.0 或更高版本

1.53.2

错误修复 (查看拉取请求)
删除删除处理器,因为重命名处理器已经删除了旧字段。

8.9.0 或更高版本

1.53.1

增强 (查看拉取请求)
在 AWS 账单上禁用 TSDB。

8.9.0 或更高版本

1.53.0

增强 (查看拉取请求)
添加 AWS API 网关自定义访问日志记录字段。

8.9.0 或更高版本

1.52.1

增强 (查看拉取请求)
对 AWS 仪表板指标图表使用默认颜色。

8.9.0 或更高版本

1.52.0

增强 (查看拉取请求)
默认情况下为 CloudWatch 指标数据流启用 TSDB。这可以提高存储利用率和查询性能。有关更多详细信息,请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html

8.9.0 或更高版本

1.51.3

错误修复 (查看拉取请求)
删除硬编码的 event.dataset 字段并改用 ecs。

8.8.1 或更高版本

1.51.2

增强 (查看拉取请求)
在 AWS 账单上禁用 TSDB。

8.8.1 或更高版本

1.51.1

增强 (查看拉取请求)
对 CloudWatch 指标使用对象指标类型

8.8.1 或更高版本

1.51.0

增强 (查看拉取请求)
为 vpcflow 添加独立的 S3 选项

8.8.1 或更高版本

1.50.6

增强 (查看拉取请求)
将 metric_type 元数据添加到 CloudWatch data_stream

8.8.1 或更高版本

1.50.5

增强 (查看拉取请求)
将 AWS Security Hub 仪表板迁移到镜头。

8.8.1 或更高版本

1.50.4

增强 (查看拉取请求)
将 AWS VPC 仪表板可视化迁移到镜头。

8.8.1 或更高版本

1.50.3

增强 (查看拉取请求)
添加 EMR 日志仪表板。

8.8.1 或更高版本

1.50.2

增强 (查看拉取请求)
将 AWS 账单仪表板可视化迁移到镜头。

8.8.1 或更高版本

1.50.1

增强 (查看拉取请求)
添加 AWS API 网关日志仪表板。

8.8.1 或更高版本

1.50.0

增强 (查看拉取请求)
添加 EMR 日志数据流。

8.8.1 或更高版本

1.49.0

增强 (查看拉取请求)
添加 API 网关日志数据流

8.8.1 或更高版本

1.48.0

增强 (查看拉取请求)
为 CloudTrail 数据流添加缺失的字段 - 添加独立 S3 存储桶的选项

8.8.1 或更高版本

1.47.1

增强 (查看拉取请求)
迁移 AWS Redshift 仪表板输入控件。

8.8.1 或更高版本

1.47.0

增强 (查看拉取请求)
将 AWS S3 服务器访问日志概览仪表板可视化迁移到镜头。

8.8.1 或更高版本

1.46.9

增强 (查看拉取请求)
迁移 AWS 网络防火墙仪表板输入控件。

8.8.1 或更高版本

1.46.8

增强 (查看拉取请求)
将维度元数据添加到 CloudWatch data_stream

8.8.1 或更高版本

1.46.7

增强 (查看拉取请求)
为 API 网关和 EMR 数据流启用时间序列数据流。这提高了存储使用率和查询性能。有关更多详细信息,请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html

8.8.1 或更高版本

1.46.6

增强 (查看拉取请求)
更新指标类型并为 AWS EMR 数据流设置维度字段。

8.8.1 或更高版本

1.46.5

增强 (查看拉取请求)
修复 API 网关指标字段的指标类型。

8.8.1 或更高版本

1.46.4

增强 (查看拉取请求)
为 API 网关数据流设置维度字段。

1.46.3

增强 (查看拉取请求)
为 vpcflow 添加缺失的 S3 字段

8.8.1 或更高版本

1.46.2

增强 (查看拉取请求)
为 S3 每日存储和 S3 请求数据集启用时间序列数据流。这提高了存储使用率和查询性能。有关更多详细信息,请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html

8.8.1 或更高版本

1.46.1

增强 (查看拉取请求)
为 Usage 数据集启用时间序列数据流。这提高了存储使用率和查询性能。有关更多详细信息,请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html

8.8.1 或更高版本

1.46.0

增强 (查看拉取请求)
为指标数据集 Billing、DynamoDB、EBS、ECS、ELB、Firewall、Kinesis、Lambda、NAT 网关、RDS、Redshift、S3 Storage Lens、SNS、SQS、Transit Gateway 和 VPN 启用时间序列数据流。这提高了存储使用率和查询性能。有关更多详细信息,请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html

8.8.1 或更高版本

1.45.9

增强 (查看拉取请求)
为 AWS Billing 添加新的指纹维度。

8.8.1 或更高版本

1.45.8

增强 (查看拉取请求)
将 metric_type 元数据添加到 s3_daily_storage 和 s3_request 数据流。

8.8.1 或更高版本

1.45.7

增强 (查看拉取请求)
将维度字段元数据添加到 s3_request 和 s3_data_storage 数据流以支持 TSDB

8.8.1 或更高版本

1.45.6

增强 (查看拉取请求)
将指标类型添加到 S3 Storage Lens。

8.8.1 或更高版本

1.45.4

增强 (查看拉取请求)
为 S3 Storage Lens 设置维度字段。

8.8.1 或更高版本

1.45.3

Bug 修复 (查看拉取请求)
从 package-fields.yml 中删除 aws.dimensions.*

8.8.1 或更高版本

1.45.2

增强 (查看拉取请求)
添加 AWS EMR 指标仪表板。

8.8.1 或更高版本

1.45.1

增强 (查看拉取请求)
添加 AWS API 网关仪表板。

8.8.1 或更高版本

1.45.0

增强 (查看拉取请求)
添加 AWS EMR 指标数据流。

8.8.1 或更高版本

1.44.4

增强 (查看拉取请求)
将 AWS 指标概览仪表板可视化迁移到 lens。

8.8.1 或更高版本

1.44.3

增强 (查看拉取请求)
将 AWS ELB 访问日志仪表板可视化迁移到 lens。

8.8.1 或更高版本

1.44.2

Bug 修复 (查看拉取请求)
修复自述文件中的图像链接

8.8.1 或更高版本

1.44.1

增强 (查看拉取请求)
将 AWS TransitGateway 指标仪表板迁移到 lens。

8.8.1 或更高版本

1.44.0

增强 (查看拉取请求)
添加权限以将事件重新路由到 logs--,用于 cloudwatch_logs 和 ec2_logs 数据流。

8.8.1 或更高版本

1.43.2

增强 (查看拉取请求)
添加延迟参数的文档

8.8.1 或更高版本

1.43.1

增强 (查看拉取请求)
在缺失的指标数据流中添加 tags_filter 和 include_linked_accounts 配置参数。

8.8.1 或更高版本

1.43.0

增强 (查看拉取请求)
为指标数据流添加 include_linked_accounts 配置参数。

8.8.1 或更高版本

1.42.0

增强 (查看拉取请求)
添加字段 agent.id 以设置为 TSDB 迁移的维度。

8.7.1 或更高版本

1.41.0

增强 (查看拉取请求)
将 AWS NATGateway 指标仪表板可视化迁移到 lens。

8.7.1 或更高版本

1.40.9

增强 (查看拉取请求)
将 AWS ELB 指标仪表板可视化迁移到 lens。

8.7.1 或更高版本

1.40.8

增强 (查看拉取请求)
将 EC2 指标仪表板可视化迁移到 lens。

8.7.1 或更高版本

1.40.7

增强 (查看拉取请求)
添加 AWS 防火墙指标仪表板输入控制组。

8.7.1 或更高版本

1.40.6

增强 (查看拉取请求)
将 AWS S3 Storage Lens 仪表板可视化迁移到 lens。

8.7.1 或更高版本

1.40.5

增强 (查看拉取请求)
将 Usage Overview 仪表板迁移到 lens。

8.7.1 或更高版本

1.40.4

增强 (查看拉取请求)
将 AWS CloudTrail 仪表板可视化迁移到 lens。

8.7.1 或更高版本

1.40.3

增强 (查看拉取请求)
将字段指标类型添加到 usage、dynamoDB 和 ELB 数据流。

8.7.1 或更高版本

1.40.2

增强 (查看拉取请求)
在 RDS 仪表板中,将 aws.rds.db_instance.identifier 替换为 aws.dimensions.DBInstanceIdentifier。

8.7.1 或更高版本

1.40.1

增强 (查看拉取请求)
在所有集成页面中添加指向主要 AWS 要求的链接。

8.7.1 或更高版本

1.40.0

增强 (查看拉取请求)
将指标类型添加到 SNS、SQS 和 Billing 数据流。

8.7.1 或更高版本

1.39.0

增强 (查看拉取请求)
添加 AWS API 网关数据流。

8.7.1 或更高版本

1.38.4

增强 (查看拉取请求)
将维度字段添加到 billing、sns 和 sqs 数据流。

8.7.1 或更高版本

1.38.3

增强 (查看拉取请求)
将维度字段添加到 firewall、transit gateway 和 vpn 数据流。

8.7.1 或更高版本

1.38.2

增强 (查看拉取请求)
将指标类型添加到 vpn、firewall 和 transit gateway 数据流。

8.7.1 或更高版本

1.38.1

增强 (查看拉取请求)
将指标类型添加到 RDS 数据流。

8.7.1 或更高版本

1.38.0

增强 (查看拉取请求)
将维度添加到 RDS 数据流。

8.7.1 或更高版本

1.37.3

Bug 修复 (查看拉取请求)
修复多个可视化上的不正确字段。

8.7.1 或更高版本

1.37.2

增强 (查看拉取请求)
将 AWS RDS 指标仪表板迁移到 lens。

8.7.1 或更高版本

1.37.1

增强 (查看拉取请求)
将 AWS SNS 仪表板可视化迁移到 lenses。

8.7.1 或更高版本

1.37.0

增强 (查看拉取请求)
将 AWS SQS 指标仪表板可视化迁移到 lenses。

8.7.1 或更高版本

1.36.9

增强 (查看拉取请求)
将 AWS VPN 指标仪表板迁移到 lenses。

8.7.1 或更高版本

1.36.8

增强 (查看拉取请求)
向 usage、dynamoDB 和 ELB 数据流添加维度字段。

8.7.1 或更高版本

1.36.7

增强 (查看拉取请求)
为 TSDB 支持向 Lambda 数据流添加维度字段。

8.7.1 或更高版本

1.36.6

增强 (查看拉取请求)
向 natgateway 数据流字段添加指标类型。

8.7.1 或更高版本

1.36.5

增强 (查看拉取请求)
向 EBS 字段添加指标类型。

8.7.1 或更高版本

1.36.4

增强 (查看拉取请求)
为 kinesis 数据流添加 TSDB 支持(指标类型)。

8.7.1 或更高版本

1.36.3

增强 (查看拉取请求)
向 Redshift 数据流添加维度。

8.7.1 或更高版本

1.36.2

增强 (查看拉取请求)
向 Redshift 数据流添加指标类型映射。

8.7.1 或更高版本

1.36.1

增强 (查看拉取请求)
向 natgateway 数据流添加维度字段。

8.7.1 或更高版本

1.36.0

增强 (查看拉取请求)
向 Lambda 字段添加指标类型。

8.7.1 或更高版本

1.35.1

错误修复 (查看拉取请求)
修复字段名称中的拼写错误,该错误导致 s3access 数据流上出现错误的时间戳检测。

8.7.1 或更高版本

1.35.0

增强 (查看拉取请求)
添加一个新标志,以在基于 httpjson 的输入上启用请求跟踪

8.7.1 或更高版本

1.34.5

增强 (查看拉取请求)
将 AWS Lambda 指标仪表板可视化迁移到 lenses。

8.6.0 或更高版本

1.34.4

增强 (查看拉取请求)
将 AWS DynamoDB 指标仪表板可视化迁移到 lenses。

8.6.0 或更高版本

1.34.3

增强 (查看拉取请求)
向 ECS 数据流添加字段指标类型。

8.6.0 或更高版本

1.34.2

增强 (查看拉取请求)
向 Kinesis 数据流添加维度字段。

8.6.0 或更高版本

1.34.1

增强 (查看拉取请求)
为 TSDB 支持向 ECS 数据流添加维度字段。

8.6.0 或更高版本

1.34.0

增强 (查看拉取请求)
向 EBS 数据流添加维度。

8.6.0 或更高版本

1.33.3

增强 (查看拉取请求)
向所有基于 CloudWatch Logs 的集成添加 number_of_workers 和延迟。

8.6.0 或更高版本

1.33.2

错误修复 (查看拉取请求)
在 AWS 账单集成文档中添加缺失的权限。

8.6.0 或更高版本

1.33.1

错误修复 (查看拉取请求)
在 AWS CloudWatch Logs 集成文档中添加缺失的权限。

8.6.0 或更高版本

1.33.0

增强 (查看拉取请求)
在 CloudWatch Logs 集成上添加延迟配置选项。

8.6.0 或更高版本

1.32.2

错误修复 (查看拉取请求)
修复了一个小的文档格式问题。

8.6.0 或更高版本

1.32.1

增强 (查看拉取请求)
添加了类别和/或子类别。

8.6.0 或更高版本

1.32.0

增强 (查看拉取请求)
将 AWS EBS 仪表板可视化迁移到 lenses。

8.6.0 或更高版本

1.31.0

增强 (查看拉取请求)
为 Amazon GuardDuty 添加数据流。

8.6.0 或更高版本

1.30.0

增强 (查看拉取请求)
添加仪表板数据流过滤器。

8.6.0 或更高版本

1.29.1

错误修复 (查看拉取请求)
从 CloudFront 日志行中删除注释

8.6.0 或更高版本

1.29.0

增强 (查看拉取请求)
添加 data_granularity 参数并将 period 标题重命名为 Collection Period。

8.6.0 或更高版本

1.28.3

错误修复 (查看拉取请求)
从 VPC 流日志消息字段中删除引号,并将 dot_expander 处理器移动到顶部

8.4.0 或更高版本

1.28.2

错误修复 (查看拉取请求)
添加 dot_expander 处理器以将所有带点的字段扩展为对象字段

错误修复 (查看拉取请求)
支持带有消息字段的 VPC 流日志

8.4.0 或更高版本

1.28.1

增强 (查看拉取请求)
将 kinesis 集成调整为 kinesis 数据流

8.4.0 或更高版本

1.28.0

增强 (查看拉取请求)
增强 S3 集成仪表板

8.4.0 或更高版本

1.27.3

错误修复 (查看拉取请求)
支持 cloudfront 集成中的多个转发 IP

8.4.0 或更高版本

1.27.2

增强 (查看拉取请求)
更新分页终止条件。

8.4.0 或更高版本

1.27.1

增强 (查看拉取请求)
为 AWS Security Hub 添加了一个摘要仪表板。

8.4.0 或更高版本

1.27.0

增强 (查看拉取请求)
添加 Inspector 数据流。

8.4.0 或更高版本

1.25.3

错误修复 (查看拉取请求)
从 agent.yml 中删除重复字段,并对 ECS 字段使用 ecs.yml

8.3.0 或更高版本

1.25.2

错误修复 (查看拉取请求)
更新 ec2 fields.yml 文档

8.3.0 或更高版本

1.25.1

错误修复 (查看拉取请求)
删除导致配置集成时出现错误的重复content_type配置。

8.3.0 或更高版本

1.25.0

增强 (查看拉取请求)
强制指定预期 JSON 内容的内容类型

8.3.0 或更高版本

1.24.6

错误修复 (查看拉取请求)
增强 Kinesis 集成仪表板

8.3.0 或更高版本

1.24.5

错误修复 (查看拉取请求)
允许在 cloudfront 日志中添加多个处理器。

8.3.0 或更高版本

1.24.4

错误修复 (查看拉取请求)
不依赖 dynamodb 轻量级模块指标集。

8.3.0 或更高版本

1.24.3

错误修复 (查看拉取请求)
修复在 cloudfront 日志中添加处理器的问题。

8.3.0 或更高版本

1.24.2

错误修复 (查看拉取请求)
修复账单数据流代理模板。

8.3.0 或更高版本

1.24.1

错误修复 (查看拉取请求)
修复 aws.cloudtrail.request_id 解析

8.3.0 或更高版本

1.24.0

错误修复 (查看拉取请求)
将默认区域设置公开到 UI

8.3.0 或更高版本

1.23.4

错误修复 (查看拉取请求)
将默认终结点设置为空字符串

8.3.0 或更高版本

1.23.3

错误修复 (查看拉取请求)
修复账单仪表板

8.3.0 或更高版本

1.23.2

错误修复 (查看拉取请求)
修复 EC2 仪表板

8.3.0 或更高版本

1.23.1

增强 (查看拉取请求)
更新所有 AWS 文档。

8.1.0 或更高版本

1.23.0

错误修复 (查看拉取请求)
修复 cloudtrail 数据流中的 file.path 字段,使其使用 json.digestS3Object

8.1.0 或更高版本

1.22.0

增强 (查看拉取请求)
更新 cloud.region 解析

8.1.0 或更高版本

1.21.0

增强 (查看拉取请求)
添加 Security Hub Findings 和 Insights 数据流

8.1.0 或更高版本

1.20.0

增强 (查看拉取请求)
通过从库中删除单独的可视化来改进仪表板

8.1.0 或更高版本

1.19.5

增强 (查看拉取请求)
将 ebs 指标配置从 beats 移至 integrations

7.15.0 或更高版本
8.0.0 或更高版本

1.19.4

错误修复 (查看拉取请求)
修复代理 URL 文档渲染。

7.15.0 或更高版本
8.0.0 或更高版本

1.19.3

错误修复 (查看拉取请求)
更新 kinesis 数据流中的 sample_event.json

7.15.0 或更高版本
8.0.0 或更高版本

1.19.2

增强 (查看拉取请求)
将 NATGateway 指标配置从 beats 移至 integrations

7.15.0 或更高版本
8.0.0 或更高版本

1.19.1

增强 (查看拉取请求)
将 Transit Gateway 指标配置从 beats 移至 integrations

7.15.0 或更高版本
8.0.0 或更高版本

1.19.0

增强 (查看拉取请求)
添加 Kinesis 指标数据流

7.15.0 或更高版本
8.0.0 或更高版本

1.18.2

增强 (查看拉取请求)
将 s3_request 指标配置从 beats 移至 integrations

增强 (查看拉取请求)
将 s3_daily_storage 指标配置从 beats 移至 integrations

增强 (查看拉取请求)
将 SQS 指标配置从 beats 移至 integrations

增强 (查看拉取请求)
将 SNS 指标配置从 beats 移至 integrations

增强 (查看拉取请求)
将 lambda 指标配置从 beats 移至 integrations

7.15.0 或更高版本
8.0.0 或更高版本

1.18.1

增强 (查看拉取请求)
发布 AWS 账单集成作为 GA

7.15.0 或更高版本
8.0.0 或更高版本

1.18.0

增强 (查看拉取请求)
添加 ECS 指标集

错误修复 (查看拉取请求)
修复多个可视化中的不正确字段

7.15.0 或更高版本
8.0.0 或更高版本

1.17.5

增强 (查看拉取请求)
发布 Amazon Redshift 集成作为 GA

7.15.0 或更高版本
8.0.0 或更高版本

1.17.4

错误修复 (查看拉取请求)
修复 cloudwatch_logs 集成上的 data_stream.dataset 缩进

7.15.0 或更高版本
8.0.0 或更高版本

1.17.3

错误修复 (查看拉取请求)
向指标数据集添加缺少的端点配置。

增强 (查看拉取请求)
将使用情况指标配置从 beats 移至 integrations

增强 (查看拉取请求)
将 dynamodb 指标配置从 beats 移至 integrations

7.15.0 或更高版本
8.0.0 或更高版本

1.17.2

错误修复 (查看拉取请求)
改进对上游转发器 event.original 字段的支持。

7.15.0 或更高版本
8.0.0 或更高版本

1.17.1

错误修复 (查看拉取请求)
修复 aws-cloudwatch 输入清单中 Log Stream Prefix 变量的拼写错误

7.15.0 或更高版本
8.0.0 或更高版本

1.17.0

增强 (查看拉取请求)
添加 Redshift 集成

7.15.0 或更高版本
8.0.0 或更高版本

1.16.6

增强 (查看拉取请求)
使用新用户的其他上下文更新文档。

7.15.0 或更高版本
8.0.0 或更高版本

1.16.5

增强 (查看拉取请求)
将 ELB 指标配置从 beats 移至 integrations

1.16.4

错误修复 (查看拉取请求)
修复 ELB 数据集以解析带有空格的 URL

增强 (查看拉取请求)
将 ECS 升级到 8.2.0

7.15.0 或更高版本
8.0.0 或更高版本

1.16.3

增强 (查看拉取请求)
将 RDS 指标配置从 beats 移至 integrations

1.16.2

增强 (查看拉取请求)
将 EC2 指标配置从 beats 移至 integrations

1.16.1

错误修复 (查看拉取请求)
修复 vpcflow 中 ECS 字段的无效值

1.16.0

增强 (查看拉取请求)
将 VPN 配置文件移至 integrations 并添加标签收集

7.15.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
弃用 cloudwatch 集成中的 s3 输入

增强 (查看拉取请求)
改进 cloudwatch 集成的描述

1.14.8

错误修复 (查看拉取请求)
修复 http.response.status_code 以接受 000

7.15.0 或更高版本
8.0.0 或更高版本

1.14.7

错误修复 (查看拉取请求)
修复 rds 数据流的 aws.dimensions.*

错误修复 (查看拉取请求)
修复 sns 数据流的 aws.dimensions.*

错误修复 (查看拉取请求)
为 dynamodb 数据流添加 aws.dimensions.*

7.15.0 或更高版本
8.0.0 或更高版本

1.14.6

增强 (查看拉取请求)
改进 s3 集成磁贴标题和描述

1.14.5

错误修复 (查看拉取请求)
修复集成的重复标题

7.15.0 或更高版本
8.0.0 或更高版本

1.14.4

错误修复 (查看拉取请求)
修复 cloudfront 集成 grok 模式

1.14.3

增强 (查看拉取请求)
向 VPC 流日志添加包含所有 29 个 v5 字段的新模式

1.14.2

错误修复 (查看拉取请求)
修复账单仪表板。

1.14.1

增强 (查看拉取请求)
添加多字段文档

1.14.0

增强 (查看拉取请求)
为 aws.firewall_logs S3 输入添加 max_number_of_messages 配置。

7.15.0 或更高版本
8.0.0 或更高版本

1.13.1

错误修复 (查看拉取请求)
修复仪表板中的 metricbeat 引用

7.15.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
压缩仪表板屏幕截图。

7.15.0 或更高版本
8.0.0 或更高版本

1.12.1

错误修复 (查看拉取请求)
修复 elb_logs 数据流中与 ECS 字段(trace.idsource.port 和其他几个字段)相关的字段映射冲突。

7.15.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
添加 CloudFront 日志数据流

1.11.4

错误修复 (查看拉取请求)
添加 Ingest Pipeline 脚本以映射 IANA 协议号

1.11.3

错误修复 (查看拉取请求)
将缺失的 ecs 版本更改为 8.0.0

1.11.2

错误修复 (查看拉取请求)
为自定义 aws-cloudwatch 日志输入添加 data_stream.dataset 选项

1.11.1

错误修复 (查看拉取请求)
更新权限列表

1.11.0

增强 (查看拉取请求)
更新到 ECS 8.0

7.15.0 或更高版本
8.0.0 或更高版本

1.10.2

增强 (查看拉取请求)
将 cloudwatch 指标和日志默认值更改为 false

7.15.0 或更高版本
8.0.0 或更高版本

1.10.1

增强 (查看拉取请求)
添加对支持的 vpcflow 格式的描述

1.10.0

增强 (查看拉取请求)
在 AWS 包中添加 cloudwatch 输入以进行日志收集

1.9.0

增强 (查看拉取请求)
添加 Route 53 解析器日志数据流

7.15.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
添加 Route 53 公共区域日志数据流

1.7.1

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

1.7.0

增强 (查看拉取请求)
添加 AWS 网络防火墙集成

1.6.2

错误修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

1.6.1

增强功能 (查看拉取请求)
修复 CloudTrail 数据流中 event.created 的值。

7.15.0 或更高版本
8.0.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
向 AWS S3 输入配置添加 max_number_of_messages 配置选项。

1.5.1

增强功能 (查看拉取请求)
添加缺失的示例事件

7.15.0 或更高版本
8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
支持 Kibana 8.0

7.15.0 或更高版本
8.0.0 或更高版本

1.4.1

增强功能 (查看拉取请求)
为 AWS S3 Storage Lens 添加概览仪表板

7.15.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
为 AWS S3 Storage Lens 添加集成

1.3.2

增强功能 (查看拉取请求)
与指南保持一致

1.3.1

增强功能 (查看拉取请求)
添加配置参数说明

1.3.0

增强功能 (查看拉取请求)
添加 WAF 数据流

1.2.2

缺陷修复 (查看拉取请求)
防止管道脚本错误

1.2.1

缺陷修复 (查看拉取请求)
修复检查已转发标签的逻辑

1.2.0

增强功能 (查看拉取请求)
更新到 ECS 1.12.0

1.1.0

增强功能 (查看拉取请求)
vpcflow 与 filebeat fileset 同步

7.14.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
发布 AWS 作为 GA

7.14.0 或更高版本

0.10.7

增强功能 (查看拉取请求)
添加代理配置

0.10.6

缺陷修复 (查看拉取请求)
修复 aws.billing.EstimatedCharges 字段名称

0.10.5

缺陷修复 (查看拉取请求)
添加 event.created 字段

0.10.4

增强功能 (查看拉取请求)
改进 RDS 仪表板

0.10.3

增强功能 (查看拉取请求)
转换为生成的 ECS 字段

0.10.2

增强功能 (查看拉取请求)
更新到 ECS 1.11.0

0.10.1

增强功能 (查看拉取请求)
转义文档中的特殊字符

0.10.0

增强功能 (查看拉取请求)
更新集成描述

0.9.3

缺陷修复 (查看拉取请求)
修复每个策略模板的类别

0.9.2

增强功能 (查看拉取请求)
将关联帐户信息添加到计费指标集

0.9.1

缺陷修复 (查看拉取请求)
修复当远程 IP 为 -aws.s3access 管道

0.9.0

增强功能 (查看拉取请求)
将默认凭证选项更改为访问密钥

0.8.0

增强功能 (查看拉取请求)
设置“event.module”和“event.dataset”

0.7.0

增强功能 (查看拉取请求)
使用 input_groups 引入粒度

0.6.4

增强功能 (查看拉取请求)
添加对 Splunk 授权令牌的支持

0.6.3

缺陷修复 (查看拉取请求)
修复第三方摄取管道中的错误

0.6.2

缺陷修复 (查看拉取请求)
从 elb 日志中删除不正确的 http.request.referrer 字段

0.6.1

增强功能 (查看拉取请求)
添加对 CloudTrail Digest 和 Insight 日志的支持

0.6.0

增强功能 (查看拉取请求)
更新 ECS 版本,添加 event.original 并为软件包 GA 做准备

0.5.6

缺陷修复 (查看拉取请求)
修复堆栈兼容性

0.5.5

增强功能 (查看拉取请求)
允许 role_arn 与 AWS 的访问密钥一起使用

0.5.4

增强功能 (查看拉取请求)
将 s3 输入重命名为 aws-s3。

0.5.3

增强功能 (查看拉取请求)
添加缺失的“geo”字段

0.5.2

增强功能 (查看拉取请求)
更新到 ECS 1.9.0

0.5.1

缺陷修复 (查看拉取请求)
忽略摄取管道中缺失的“json”字段

0.5.0

增强功能 (查看拉取请求)
将边缘处理器移动到摄取管道

0.4.2

增强功能 (查看拉取请求)
更新软件包所有者

0.4.1

缺陷修复 (查看拉取请求)
更正示例事件文件。

0.4.0

增强功能 (查看拉取请求)
添加使用 ECS 1.8 字段的更改。

0.0.3

增强功能 (查看拉取请求)
初始版本

« AWS API 网关 AWS Health »