- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
Azure Frontdoor 日志集成
编辑Azure Frontdoor 日志集成
编辑azure frontdoor 日志集成从 AFD 检索不同类型的日志数据。Azure Front Door 提供不同的日志记录,以帮助您跟踪、监控和调试 Front Door。
- 访问日志包含有关 AFD 收到的每个请求的详细信息,可帮助您分析和监控访问模式以及调试问题。
- 活动日志提供对 Azure 资源上执行的操作的可见性。
- 运行状况探测日志提供每次对源的探测失败的日志。
- Web 应用程序防火墙 (WAF) 日志提供通过 Azure Front Door 终结点的检测或预防模式记录的请求的详细信息。通过这些日志还可以查看配置了 WAF 的自定义域。
数据流
编辑此集成收集两种类型的数据流
- 访问日志
- WAF 日志
要求
编辑凭据
编辑eventhub : 字符串 是完全托管的实时数据引入服务。
consumer_group : 字符串 事件中心的发布/订阅机制通过使用者组启用。使用者组是整个事件中心的视图(状态、位置或偏移量)。使用者组使多个使用者应用程序能够各自拥有事件流的单独视图,并以自己的步调和偏移量独立读取流。默认值:$Default
connection_string : 字符串 与事件中心通信所需的连接字符串,步骤在此处 https://docs.microsoft.com/zh-cn/azure/event-hubs/event-hubs-get-connection-string。
需要 Blob 存储帐户才能存储/检索/更新事件中心消息的偏移量或状态。这意味着在停止 filebeat azure 模块后,它可以从停止处理消息的位置重新启动。
storage_account : 字符串 将存储和更新状态/偏移量的存储帐户的名称。
storage_account_key : 字符串 存储帐户密钥,此密钥将用于授权访问存储帐户中的数据。
resource_manager_endpoint : 字符串 可选,默认情况下我们使用 azure 公共环境,要覆盖,用户可以提供特定的资源管理器终结点以使用不同的 azure 环境。例如:https://management.chinacloudapi.cn/ 用于 azure 中国云,https://management.microsoftazure.de/ 用于 azure 德国云,https://management.azure.com/ 用于 azure 公共云,https://management.usgovcloudapi.net/ 用于 azure 美国政府云。在混合云模型的情况下,用户也可以使用此功能,在混合云模型中,可以定义自己的终结点。
访问日志
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
azure.frontdoor.access.backend_hostname |
客户端请求中的主机名。如果启用自定义域并具有通配符域 (*.contoso.com),则主机名为 a.contoso.com。如果使用 Azure Front Door 域 (contoso.azurefd.net),则主机名为 contoso.azurefd.net。 |
关键词 |
azure.frontdoor.access.cache_status |
提供 CDN 服务在缓存方面如何处理请求的状态代码。 |
关键词 |
azure.frontdoor.access.error_info |
此字段提供每个响应的错误令牌的详细信息。 |
关键词 |
azure.frontdoor.access.identity.authorization.action |
操作 |
关键词 |
azure.frontdoor.access.identity.authorization.evidence.principal_id |
主体 ID |
关键词 |
azure.frontdoor.access.identity.authorization.evidence.principal_type |
主体类型 |
关键词 |
azure.frontdoor.access.identity.authorization.evidence.role |
角色 |
关键词 |
azure.frontdoor.access.identity.authorization.evidence.role_assignment_id |
角色分配 ID |
关键词 |
azure.frontdoor.access.identity.authorization.evidence.role_assignment_scope |
角色分配范围 |
关键词 |
azure.frontdoor.access.identity.authorization.evidence.role_definition_id |
角色定义 ID |
关键词 |
azure.frontdoor.access.identity.authorization.scope |
范围 |
关键词 |
azure.frontdoor.access.identity.claims.* |
声明 |
对象 |
azure.frontdoor.access.identity.claims_initiated_by_user.fullname |
全名 |
关键词 |
azure.frontdoor.access.identity.claims_initiated_by_user.givenname |
名字 |
关键词 |
azure.frontdoor.access.identity.claims_initiated_by_user.name |
姓名 |
关键词 |
azure.frontdoor.access.identity.claims_initiated_by_user.schema |
架构 |
关键词 |
azure.frontdoor.access.identity.claims_initiated_by_user.surname |
姓氏 |
关键词 |
azure.frontdoor.access.identity_name |
身份名称 |
关键词 |
azure.frontdoor.access.is_received_from_client |
布尔值。 |
布尔值 |
azure.frontdoor.access.pop |
响应用户请求的边缘 pop。 |
关键词 |
azure.frontdoor.access.routing_rule_name |
请求匹配的路由的名称。 |
关键词 |
azure.frontdoor.access.rules_engine_match_names |
已处理的规则的名称。 |
关键词 |
azure.frontdoor.access.time_taken |
从 AFD 边缘服务器收到客户端请求到 AFD 将响应的最后一个字节发送到客户端的时间长度,以毫秒为单位。此字段不考虑网络延迟和 TCP 缓冲。 |
双精度 |
azure.frontdoor.access.time_to_first_byte |
从 AFD 收到请求到将第一个字节发送到客户端的时间长度(以毫秒为单位),如 Azure Front Door 上所测量。此属性不衡量客户端数据。 |
双精度 |
azure.frontdoor.category |
Azure frontdoor 类别名称。 |
关键词 |
azure.frontdoor.operation_name |
Azure 操作名称。 |
关键词 |
azure.frontdoor.resource_id |
Azure 资源 ID。 |
关键词 |
azure.frontdoor.tracking_reference |
唯一参考字符串,用于标识 AFD 服务的请求,也作为 X-Azure-Ref 标头发送给客户端。必须在访问日志中搜索特定请求的详细信息。 |
关键词 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
常量关键词 |
data_stream.namespace |
数据流命名空间。 |
常量关键词 |
data_stream.type |
数据流类型。 |
常量关键词 |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
OS 构建信息。 |
关键词 |
host.os.codename |
OS 代码名称(如果有)。 |
关键词 |
input.type |
输入类型。 |
关键词 |
log.offset |
日志偏移量。 |
长整型 |
WAF 日志
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
azure.frontdoor.category |
Azure frontdoor 类别名称。 |
关键词 |
azure.frontdoor.operation_name |
Azure 操作名称。 |
关键词 |
azure.frontdoor.resource_id |
Azure 资源 ID。 |
关键词 |
azure.frontdoor.tracking_reference |
唯一参考字符串,用于标识 AFD 服务的请求,也作为 X-Azure-Ref 标头发送给客户端。必须在访问日志中搜索特定请求的详细信息。 |
关键词 |
azure.frontdoor.waf.details.data |
详细数据。 |
关键词 |
azure.frontdoor.waf.details.msg |
详细信息 msg。 |
关键词 |
azure.frontdoor.waf.identity.authorization.action |
操作 |
关键词 |
azure.frontdoor.waf.identity.authorization.evidence.principal_id |
主体 ID |
关键词 |
azure.frontdoor.waf.identity.authorization.evidence.principal_type |
主体类型 |
关键词 |
azure.frontdoor.waf.identity.authorization.evidence.role |
角色 |
关键词 |
azure.frontdoor.waf.identity.authorization.evidence.role_assignment_id |
角色分配 ID |
关键词 |
azure.frontdoor.waf.identity.authorization.evidence.role_assignment_scope |
角色分配范围 |
关键词 |
azure.frontdoor.waf.identity.authorization.evidence.role_definition_id |
角色定义 ID |
关键词 |
azure.frontdoor.waf.identity.authorization.scope |
范围 |
关键词 |
azure.frontdoor.waf.identity.claims.* |
声明 |
对象 |
azure.frontdoor.waf.identity.claims_initiated_by_user.fullname |
全名 |
关键词 |
azure.frontdoor.waf.identity.claims_initiated_by_user.givenname |
名字 |
关键词 |
azure.frontdoor.waf.identity.claims_initiated_by_user.name |
姓名 |
关键词 |
azure.frontdoor.waf.identity.claims_initiated_by_user.schema |
架构 |
关键词 |
azure.frontdoor.waf.identity.claims_initiated_by_user.surname |
姓氏 |
关键词 |
azure.frontdoor.waf.identity_name |
身份名称 |
关键词 |
azure.frontdoor.waf.policy |
WAF 策略名称。 |
关键词 |
azure.frontdoor.waf.policy_mode |
WAF 策略模式。 |
关键词 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
常量关键词 |
data_stream.namespace |
数据流命名空间。 |
常量关键词 |
data_stream.type |
数据流类型。 |
常量关键词 |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
OS 构建信息。 |
关键词 |
host.os.codename |
OS 代码名称(如果有)。 |
关键词 |
input.type |
输入类型。 |
关键词 |
log.offset |
日志偏移量。 |
长整型 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.0 |
重大更改 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.6.1 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.5.1 |
错误修复 (查看拉取请求) |
8.6.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.3.2 |
错误修复 (查看拉取请求) |
8.6.0 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
8.6.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
0.0.2 |
Bug 修复 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |