New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« Azure 数据库帐户集成 Azure 防火墙日志 »
Elastic 文档 Elastic 集成 Azure 日志集成

Azure 事件中心输入

编辑

Azure 事件中心输入

编辑

版本

1.20.1 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

Azure 事件中心输入集成是一种通用集成,允许您使用 Azure 事件中心从 Azure 服务收集日志类别。

azure-eventhub 输入使用 事件处理器主机。EPH 可以在多个进程和机器上运行,同时负载均衡消息消费者。有关此的更多信息,请参见 Azure event-hubs-go 文档Azure 事件处理器文档)。

EPH 状态(例如,分区上的租约和事件流中的检查点)在使用 Azure 存储容器的接收器之间共享。因此,用户必须创建或使用现有的存储帐户作为使用此输入的先决条件。

要求和设置

编辑

有关设置和使用此集成的更多信息,请参阅 Azure 日志 页面。

设置

编辑

eventhub字符串 这是一种完全托管的实时数据引入服务。Elastic 建议仅对事件中心名称使用字母、数字和连字符 (-) 以最大化兼容性。可以使用事件中心名称中带有下划线 (_) 的现有事件中心;在这种情况下,当集成使用事件中心名称在后台创建依赖的 Azure 资源时(例如,用于存储事件中心使用者偏移量的存储帐户容器),该集成会将下划线替换为连字符 (-)。Elastic 还建议为每种日志类型使用单独的事件中心,因为每种日志类型的字段映射都不同。

consumer_group字符串 事件中心的发布/订阅机制通过使用者组启用。使用者组是整个事件中心的视图(状态、位置或偏移量)。使用者组允许多个使用者应用程序各自拥有事件流的独立视图,并以自己的节奏和偏移量独立读取流。默认值:$Default

connection_string字符串 与事件中心通信所需的连接字符串,步骤在此处 https://docs.microsoft.com/zh-cn/azure/event-hubs/event-hubs-get-connection-string

为了存储/检索/更新 eventhub 消息的偏移量或状态,需要一个 Blob 存储帐户。这意味着在停止 filebeat azure 模块后,它可以从停止处理消息的位置重新启动。

storage_account字符串 将存储和更新状态/偏移量的存储帐户的名称。

storage_account_key字符串 存储帐户密钥,此密钥将用于授权访问存储帐户中的数据。

storage_account_container字符串 集成存储使用者组的检查点数据的存储帐户容器。这是一个高级选项,使用时必须格外小心。您必须为每种 Azure 日志类型(活动、登录、审核日志等)使用专用的存储帐户容器。请勿对多个 Azure 日志类型重用相同的容器名称。有关 Microsoft 的命名规则的详细信息,请参阅 容器名称。如果未指定,集成将生成默认容器名称。

resource_manager_endpoint字符串 可选,默认情况下,我们使用 Azure 公共环境,要覆盖,用户可以提供特定的资源管理器终结点,以便使用不同的 Azure 环境。

资源管理器终结点

# Azure ChinaCloud
https://management.chinacloudapi.cn/

# Azure GermanCloud
https://management.microsoftazure.de/

# Azure PublicCloud
https://management.azure.com/

# Azure USGovernmentCloud
https://management.usgovcloudapi.net/

日志

编辑

eventhub

编辑

Azure 日志包的 eventhub 数据流将收集已通过 Azure 事件中心流传输的任何事件。

示例

eventhub 的示例事件如下所示

{
    "@timestamp": "2021-10-18T12:31:17.027Z",
    "agent": {
        "ephemeral_id": "42a183d5-df19-4008-8776-d9765bc01d50",
        "hostname": "docker-fleet-agent",
        "id": "b659ebed-5338-45f3-9762-1bcf2c1ad0e1",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "7.15.0"
    },
    "azure-eventhub": {
        "consumer_group": "$Default",
        "enqueued_time": "2021-10-15T09:14:25.419Z",
        "eventhub": "insights-activity-logs",
        "offset": 274878093752,
        "sequence_number": 1215
    },
    "data_stream": {
        "dataset": "azure.eventhub",
        "namespace": "default",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "b659ebed-5338-45f3-9762-1bcf2c1ad0e1",
        "snapshot": true,
        "version": "7.15.0"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "azure.eventhub",
        "ingested": "2021-10-18T12:31:17Z",
        "kind": "event"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": true,
        "hostname": "docker-fleet-agent",
        "id": "6505f7ca36739e7eb909bdb52bf3ec18",
        "ip": [
            "172.27.0.7"
        ],
        "mac": [
            "02-42-AC-14-00-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "Core",
            "family": "redhat",
            "kernel": "4.19.128-microsoft-standard",
            "name": "CentOS Linux",
            "platform": "centos",
            "type": "linux",
            "version": "7 (Core)"
        }
    },
    "input": {
        "type": "azure-eventhub"
    },
    "message": "{\\\"ReleaseVersion\\\":\\\"6.2021.39.11+d1f0e29.release_2021w39_az\\\",\\\"RoleLocation\\\":\\\"North Europe\\\",\\\"callerIpAddress\\\":\\\"77.170.179.229\\\",\\\"category\\\":\\\"Administrative\\\",\\\"correlationId\\\":\\\"a75a0752-ebbb-42bf-831f-43788a8c1193\\\",\\\"durationMs\\\":\\\"0\\\",\\\"identity\\\":{\\\"authorization\\\":{\\\"action\\\":\\\"Microsoft.ServiceBus\\\/namespaces\\\/delete\\\",\\\"evidence\\\":{\\\"principalId\\\":\\\"68b1adf93eb744b08eb8ce96522a08d3\\\",\\\"principalType\\\":\\\"User\\\",\\\"role\\\":\\\"Owner\\\",\\\"roleAssignmentId\\\":\\\"7f06f09dd6764b44930adbec3f10e92b\\\",\\\"roleAssignmentScope\\\":\\\"\\\/providers\\\/Microsoft.Management\\\/managementGroups\\\/5341238b-665c-4eb4-b259-b250371ae430\\\",\\\"roleDefinitionId\\\":\\\"8e3af657a8ff443ca75c2fe8c4bcb635\\\"},\\\"scope\\\":\\\"\\\/subscriptions\\\/7657426d-c4c3-44ac-88a2-3b2cd59e6dba\\\/resourcegroups\\\/obs-test\\\/providers\\\/Microsoft.ServiceBus\\\/namespaces\\\/testobs\\\"},\\\"claims\\\":{\\\"aio\\\":\\\"ATQAy\\\/8TAAAAgFUjNWoJWKgHlAK2AL92UMeUsb6VD5zck\\\/myDZPucX5V3Gc8SDMg5vTV28NUy5N7\\\",\\\"appid\\\":\\\"c44b4083-3bb0-49c1-b47d-974e53cbdf3c\\\",\\\"appidacr\\\":\\\"2\\\",\\\"aud\\\":\\\"https:\\\/\\\/management.core.windows.net\\\/\\\",\\\"exp\\\":\\\"1634290798\\\",\\\"groups\\\":\\\"644c6686-9ef1-4b69-9410-107664a9e1f0,9ed1993c-ce9c-4915-a04d-58c6f5f7ee12,a953f548-26ab-47b2-be7d-65586b7bcc2a\\\",\\\"http:\\\/\\\/schemas.microsoft.com\\\/2012\\\/01\\\/devicecontext\\\/claims\\\/identifier\\\":\\\"1060004c-63dc-465b-b868-ec6547176c58\\\",\\\"http:\\\/\\\/schemas.microsoft.com\\\/claims\\\/authnclassreference\\\":\\\"1\\\",\\\"http:\\\/\\\/schemas.microsoft.com\\\/claims\\\/authnmethodsreferences\\\":\\\"pwd,rsa\\\",\\\"http:\\\/\\\/schemas.microsoft.com\\\/identity\\\/claims\\\/objectidentifier\\\":\\\"68b1adf9-3eb7-44b0-8eb8-ce96522a08d3\\\",\\\"http:\\\/\\\/schemas.microsoft.com\\\/identity\\\/claims\\\/scope\\\":\\\"user_impersonation\\\",\\\"http:\\\/\\\/schemas.microsoft.com\\\/identity\\\/claims\\\/tenantid\\\":\\\"4fa94b7d-a743-486f-abcc-6c276c44cf4b\\\",\\\"http:\\\/\\\/schemas.xmlsoap.org\\\/ws\\\/2005\\\/05\\\/identity\\\/claims\\\/givenname\\\":\\\"Mariana\\\",\\\"http:\\\/\\\/schemas.xmlsoap.org\\\/ws\\\/2005\\\/05\\\/identity\\\/claims\\\/name\\\":\\\"mariana@elastic.co\\\",\\\"http:\\\/\\\/schemas.xmlsoap.org\\\/ws\\\/2005\\\/05\\\/identity\\\/claims\\\/nameidentifier\\\":\\\"a9L2WR3XZN5ANzAqwLx_4aamU49JG6kqaE5JZkXdeNs\\\",\\\"http:\\\/\\\/schemas.xmlsoap.org\\\/ws\\\/2005\\\/05\\\/identity\\\/claims\\\/surname\\\":\\\"Dima\\\",\\\"http:\\\/\\\/schemas.xmlsoap.org\\\/ws\\\/2005\\\/05\\\/identity\\\/claims\\\/upn\\\":\\\"mariana@elastic.co\\\",\\\"iat\\\":\\\"1634286898\\\",\\\"ipaddr\\\":\\\"77.170.179.229\\\",\\\"iss\\\":\\\"https:\\\/\\\/sts.windows.net\\\/4fa94b7d-a743-486f-abcc-6c276c44cf4b\\\/\\\",\\\"name\\\":\\\"Mariana Dima\\\",\\\"nbf\\\":\\\"1634286898\\\",\\\"puid\\\":\\\"1003200045B17AD4\\\",\\\"rh\\\":\\\"0.AVEAfUupT0Onb0irzGwnbETPS4NAS8SwO8FJtH2XTlPL3zxRAA8.\\\",\\\"uti\\\":\\\"yUcYeZwj9EWeA-rTCtRwAA\\\",\\\"ver\\\":\\\"1.0\\\",\\\"wids\\\":\\\"5d6b6bb7-de71-4623-b4af-96380a352509\\\",\\\"xms_tcdt\\\":\\\"1469565974\\\"}},\\\"level\\\":\\\"Information\\\",\\\"operationName\\\":\\\"MICROSOFT.SERVICEBUS\\\/NAMESPACES\\\/DELETE\\\",\\\"properties\\\":{\\\"entity\\\":\\\"\\\/subscriptions\\\/7657426d-c4c3-44ac-88a2-3b2cd59e6dba\\\/resourcegroups\\\/obs-test\\\/providers\\\/Microsoft.ServiceBus\\\/namespaces\\\/testobs\\\",\\\"eventCategory\\\":\\\"Administrative\\\",\\\"hierarchy\\\":\\\"4fa94b7d-a743-486f-abcc-6c276c44cf4b\\\/5341238b-665c-4eb4-b259-b250371ae430\\\/7657426d-c4c3-44ac-88a2-3b2cd59e6dba\\\",\\\"message\\\":\\\"Microsoft.ServiceBus\\\/namespaces\\\/delete\\\"},\\\"resourceId\\\":\\\"\\\/SUBSCRIPTIONS\\\/7657426D-C4C3-44AC-88A2-3B2CD59E6DBA\\\/RESOURCEGROUPS\\\/OBS-TEST\\\/PROVIDERS\\\/MICROSOFT.SERVICEBUS\\\/NAMESPACES\\\/TESTOBS\\\",\\\"resultSignature\\\":\\\"Started.\\\",\\\"resultType\\\":\\\"Start\\\",\\\"tenantId\\\":\\\"4fa94b7d-a743-486f-abcc-6c276c44cf4b\\\",\\\"time\\\":\\\"2021-10-15T09:08:29.9268177Z\\\"}\\r\\n",
    "tags": [
        "azure-eventhub"
    ]
}

ECS 字段参考

有关 ECS 字段的详细信息,请参阅以下文档

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

azure-eventhub.consumer_group

使用者组

关键字

azure-eventhub.enqueued_time

排队时间。

关键字

azure-eventhub.eventhub

事件中心名称。

关键字

azure-eventhub.offset

偏移量

长整数

azure-eventhub.partition_id

分区 ID

关键字

azure-eventhub.sequence_number

序列号

长整数

azure.correlation_id

关联 ID

关键字

azure.resource.authorization_rule

授权规则

关键字

azure.resource.group

资源组

关键字

azure.resource.id

资源 ID

关键字

azure.resource.name

名称

关键字

azure.resource.namespace

资源类型/命名空间

关键字

azure.resource.provider

资源类型/命名空间

关键字

azure.subscription_id

Azure 订阅 ID

关键字

azure.tenant_id

租户 ID

关键字

cloud.image.id

云实例的映像 ID。

关键字

data_stream.dataset

数据流数据集名称。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.module

事件模块

常量关键字

geo.city_name

城市名称。

关键字

geo.continent_name

大陆的名称。

关键字

geo.country_iso_code

国家/地区 ISO 代码。

关键字

geo.country_name

国家/地区名称。

关键字

geo.location

经度和纬度。

geo_point

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代码名(如果有)。

关键字

input.type

输入类型

关键字

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.20.1

错误修复 (查看拉取请求)
修复无痛脚本中的字符串文字。

8.13.0 或更高版本

1.20.0

增强 (查看拉取请求)
添加 Azure 日志集成 v2(预览版)

8.13.0 或更高版本

1.19.4

错误修复 (查看拉取请求)
修复 destination.geo.region_name 映射。

8.13.0 或更高版本

1.19.3

错误修复 (查看拉取请求)
为了保持一致性,将 Identity 字段重命名为 identity

8.13.0 或更高版本

1.19.2

错误修复 (查看拉取请求)
properties 字段重命名为 properties.raw,以避免当 properties 字段包含字符串时出现解析错误。

8.13.0 或更高版本

1.19.1

错误修复 (查看拉取请求)
修复一个错误,并阐明有关存储帐户容器的文档。

8.13.0 或更高版本

1.18.0

增强 (查看拉取请求)
将实体标识符添加到 related.entity

8.13.0 或更高版本

1.17.0

增强 (查看拉取请求)
为与防火墙规则匹配的请求中找到的精确数据添加 event.reason 日志字段。

8.13.0 或更高版本

1.16.0

增强 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

1.15.1

错误修复 (查看拉取请求)
修复 [client|source].geo.location ECS 字段映射

8.13.0 或更高版本

1.15.0

增强 (查看拉取请求)
添加有关 Azure Functions 托管计划的新部分。

8.13.0 或更高版本

1.14.0

增强 (查看拉取请求)
添加用于仪表板的全局数据集过滤器,以提高性能。

8.13.0 或更高版本

1.13.1

增强 (查看拉取请求)
使用有关事件中心分区配置的更多详细信息扩展文档。

8.13.0 或更高版本

1.13.0

增强 (查看拉取请求)
将结构化日志类别添加到 Azure 防火墙。

8.13.0 或更高版本

1.12.0

增强 (查看拉取请求)
ECS 版本更新到 8.11.0。将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除由 ecs@mappings 组件模板变得多余的 ECS 字段。

重大更改 (查看拉取请求)
将 "event.outcome" 值从 "Succeeded" 更新为 "success",从 "Failed" 更新为 "failure"。

8.13.0 或更高版本

1.11.4

错误修复 (查看拉取请求)
将 Azure AD 替换为 Microsoft Entra ID。

8.12.0 或更高版本

1.11.3

错误修复 (查看拉取请求)
更新 Azure 审核日志管道,以支持 initiated_by 用户字段。

8.12.0 或更高版本

1.11.2

错误修复 (查看拉取请求)
添加缺失的 ECS 字段定义。

8.12.0 或更高版本

1.11.1

增强 (查看拉取请求)
更新事件中心参数名称建议的描述。

8.12.0 或更高版本

1.11.0

增强 (查看拉取请求)
对 eventhub 使用 event.dataset 字段的 ecs 定义

8.12.0 或更高版本

1.10.0

增强 (查看拉取请求)
添加 Microsoft Graph 活动日志

8.12.0 或更高版本

1.9.2

增强 (查看拉取请求)
添加有关在防火墙后运行集成的文档。

8.12.0 或更高版本

1.9.1

错误修复 (查看拉取请求)
将秘密字段的字段类型设置为密码。

8.12.0 或更高版本

1.9.0

增强 (查看拉取请求)
添加对集成密钥的支持

8.12.0 或更高版本

1.8.3

增强 (查看拉取请求)
在 Azure 登录日志的管道中添加 caller_ip_address 字段。

8.8.0 或更高版本

1.8.2

增强 (查看拉取请求)
更新 Azure 日志文档。

8.8.0 或更高版本

1.8.1

增强 (查看拉取请求)
更新 AD 日志文档。

8.8.0 或更高版本

1.8.0

增强 (查看拉取请求)
允许将 Azure 日志事件重新路由到不同的数据流。

8.8.0 或更高版本

1.7.0

增强 (查看拉取请求)
将 Azure Spring Cloud 日志重命名为 Azure Spring Apps

8.6.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.6.0 或更高版本

1.5.33

缺陷修复 (查看拉取请求)
在应用程序网关日志中,将 json.properties.clientIp 处理为 json.properties.clientIP 的别名

8.6.0 或更高版本

1.5.32

缺陷修复 (查看拉取请求)
修复 azure.activitylogs.claims.* 的映射。

8.6.0 或更高版本

1.5.31

增强 (查看拉取请求)
将 Azure AD 身份保护仪表板迁移到 Lens。

8.6.0 或更高版本

1.5.30

增强 (查看拉取请求)
将 Azure AD 预配日志仪表板迁移到 Lens。

8.6.0 或更高版本

1.5.29

增强 (查看拉取请求)
修复 Azure 仪表板的描述和标题。

8.6.0 或更高版本

1.5.28

增强 (查看拉取请求)
将警报概述仪表板迁移到 Lens

8.6.0 或更高版本

1.5.27

缺陷修复 (查看拉取请求)
修复防火墙仪表板中的问题

8.6.0 或更高版本

1.5.26

缺陷修复 (查看拉取请求)
处理登录日志中重复的 user_agent.original 字段

8.6.0 或更高版本

1.5.25

缺陷修复 (查看拉取请求)
处理应用程序网关日志中重复的 url.path 字段

8.6.0 或更高版本

1.5.24

缺陷修复 (查看拉取请求)
处理具有属性的 DNAT 请求的防火墙事件

8.6.0 或更高版本

1.5.23

增强 (查看拉取请求)
更新 Azure 日志屏幕截图

8.6.0 或更高版本

1.5.22

增强 (查看拉取请求)
将 Azure 云概述仪表板迁移到 Lens 并进行样式更改

8.6.0 或更高版本

1.5.21

增强 (查看拉取请求)
将用户活动仪表板迁移到 Lens

8.6.0 或更高版本

1.5.20

增强 (查看拉取请求)
用于清理的集成设置 UI

8.6.0 或更高版本

1.5.17

增强 (查看拉取请求)
将 Spring Cloud 概述仪表板迁移到 Lens

8.6.0 或更高版本

1.5.16

增强 (查看拉取请求)
将 Azure Spring Cloud 日志应用程序云日志仪表板迁移到 Lens

8.6.0 或更高版本

1.5.15

增强 (查看拉取请求)
将 Spring Cloud 系统日志仪表板迁移到 Lens

8.6.0 或更高版本

1.5.14

增强 (查看拉取请求)
增强/提高仪表板的性能

8.6.0 或更高版本

1.5.13

增强 (查看拉取请求)
扩展存储帐户容器文档,并添加指向要求和设置说明的链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.12

增强 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.11

增强 (查看拉取请求)
向 AzureFirewallNetworkRule 日志类别添加新的消息格式

7.16.0 或更高版本
8.0.0 或更高版本

1.5.10

缺陷修复 (查看拉取请求)
检查应用程序网关和事件中心摄取管道中是否已存在 _event.original_

7.16.0 或更高版本
8.0.0 或更高版本

1.5.9

缺陷修复 (查看拉取请求)
检查防火墙日志摄取管道中是否已存在 _event.original_

7.16.0 或更高版本
8.0.0 或更高版本

1.5.8

缺陷修复 (查看拉取请求)
向应用程序网关集成添加 storage_account_container 选项

7.16.0 或更高版本
8.0.0 或更高版本

1.5.7

缺陷修复 (查看拉取请求)
修复登录日志中 authentication_processing_details 字段的解析

7.16.0 或更高版本
8.0.0 或更高版本

1.5.6

缺陷修复 (查看拉取请求)
修复客户端端口为空的解析错误并调整时间戳

7.16.0 或更高版本
8.0.0 或更高版本

1.5.5

缺陷修复 (查看拉取请求)
当值为字符串时,将身份重命名为 identity_name

7.16.0 或更高版本
8.0.0 或更高版本

1.5.4

增强 (查看拉取请求)
默认启用事件中心集成并改进文档

7.16.0 或更高版本
8.0.0 或更高版本

1.5.3

增强 (查看拉取请求)
数据流在新安装时默认禁用

7.16.0 或更高版本
8.0.0 或更高版本

1.5.2

缺陷修复 (查看拉取请求)
修复变更日志中的 PR 链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

缺陷修复 (查看拉取请求)
修复文档格式 (删除多余的 _Overview_ 标题)

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
添加 Azure 应用程序网关数据流

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
更新 Azure 日志文档

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
向 Azure AD 日志集成添加两个新的数据流:Azure 身份保护日志和预配日志

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
添加覆盖默认生成的存储帐户容器的可能性

7.16.0 或更高版本
8.0.0 或更高版本

1.2.3

增强 (查看拉取请求)
使用推荐的事件中心配置更新文档

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

增强 (查看拉取请求)
更新软件包名称和描述以与标准措辞保持一致

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

缺陷修复 (查看拉取请求)
修复 Azure 登录日志摄取管道错误

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
支持 Azure 防火墙日志

1.1.11

缺陷修复 (查看拉取请求)
改进对来自上游转发器的 event.original 字段的支持。

1.1.10

增强 (查看拉取请求)
使用指向 Microsoft 文档的链接更新自述文件

7.16.0 或更高版本
8.0.0 或更高版本

1.1.9

缺陷修复 (查看拉取请求)
改进 IPv6 IP 地址的处理。

1.1.8

增强 (查看拉取请求)
使用有关事件中心名称建议的详细信息更新文档

7.16.0 或更高版本
8.0.0 或更高版本

1.1.7

错误修复 (查看拉取请求)
在 platformlogs 中添加 geo.name 和 result_description 字段

7.16.0 或更高版本
8.0.0 或更高版本

1.1.6

错误修复 (查看拉取请求)
使用具体值修复 azure.activitylogs.identity

错误修复 (查看拉取请求)
将 identity_name、tenant_id、level 和 operation_version 添加到活动日志中

7.16.0 或更高版本
8.0.0 或更高版本

1.1.5

增强 (查看拉取请求)
添加多字段文档

1.1.4

错误修复 (查看拉取请求)
修复所有 Azure 数据流中 event.duration 字段映射冲突。

1.1.3

增强 (查看拉取请求)
默认将 forwarded 标签添加到所有日志类型。

1.1.2

错误修复 (查看拉取请求)
添加 device_detail.is_compliant 和 device_detail.is_managed 字段

错误修复 (查看拉取请求)
将 authentication_requirement_policies 更改为扁平类型

7.16.0 或更高版本
8.0.0 或更高版本

1.1.1

错误修复 (查看拉取请求)
修复 client.ip 的 auditlogs 数据流中的字段映射冲突。将 eventhub 数据流中的 azure-eventhub.offsetazure-eventhub.sequence_number 从关键字更改为长整型。

1.1.0

增强 (查看拉取请求)
支持新的 Azure 审计日志和登录日志

1.0.1

增强 (查看拉取请求)
从数据流中删除 beta 发布标签

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 azure 包迁移到 GA

7.16.0 或更高版本
8.0.0 或更高版本

0.12.3

增强 (查看拉取请求)
更新到 ECS 8.0

0.12.2

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.12.1

错误修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

0.12.0

增强 (查看拉取请求)
为 v8.0.0 发布 azure 包

0.11.0

增强 (查看拉取请求)
添加 Azure 事件中心输入

0.10.1

增强 (查看拉取请求)
与指南保持一致

0.10.0

增强 (查看拉取请求)
signinlogs - 添加对 ManagedIdentitySignInLogs、NonInteractiveUserSignInLogs 和 ServicePrincipalSignInLogs 的支持。

0.9.2

错误修复 (查看拉取请求)
防止管道脚本错误

0.9.1

错误修复 (查看拉取请求)
修复检查forwarded标签的逻辑

0.9.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

0.8.6

错误修复 (查看拉取请求)
添加 ECS client.ip 映射

0.8.5

增强 (查看拉取请求)
更新文档和徽标

0.8.4

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.8.3

增强 (查看拉取请求)
从 ECS 导入 geo_points

0.8.2

增强 (查看拉取请求)
更新错误消息

0.8.1

增强 (查看拉取请求)
在 platformlogs 管道中添加对 springcloud 日志的支持

0.8.0

增强 (查看拉取请求)
导入 ECS 字段定义

0.7.0

增强 (查看拉取请求)
添加 spring cloud 日志

0.6.2

增强 (查看拉取请求)
更新到 ECS 1.11.0

0.6.1

增强 (查看拉取请求)
转义文档中的特殊字符

0.6.0

增强 (查看拉取请求)
更新集成描述

0.5.1

增强 (查看拉取请求)
重新添加用于无效 json 的管道更改

0.5.0

增强 (查看拉取请求)
添加输入组

0.4.0

增强 (查看拉取请求)
设置“event.module”和“event.dataset”

0.3.1

增强 (查看拉取请求)
将包与模块更改同步

0.3.0

增强 (查看拉取请求)
更新到 ECS 1.10.0 并添加 event.original 选项

0.2.3

增强 (查看拉取请求)
更新到 ECS 1.9.0

0.2.2

错误修复 (查看拉取请求)
更正示例事件文件。

0.2.1

错误修复 (查看拉取请求)
添加对空配置选项的检查。

0.2.0

增强 (查看拉取请求)
添加更改以使用 ECS 1.8 字段。

0.0.1

增强 (查看拉取请求)
初始版本

« Azure 数据库帐户集成 Azure 防火墙日志 »

On this page

Was this helpful?
Feedback