« Azure 防火墙日志 Azure Functions »
Elastic 文档 Elastic 集成 Azure 日志集成

Azure Frontdoor 日志集成

编辑

Azure Frontdoor 日志集成

编辑

版本

2.1.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

azure frontdoor 日志集成从 AFD 检索不同类型的日志数据。Azure Front Door 提供不同的日志记录,以帮助您跟踪、监控和调试 Front Door。

  • 访问日志包含有关 AFD 收到的每个请求的详细信息,可帮助您分析和监控访问模式以及调试问题。
  • 活动日志提供对 Azure 资源上执行的操作的可见性。
  • 运行状况探测日志提供每次对源的探测失败的日志。
  • Web 应用程序防火墙 (WAF) 日志提供通过 Azure Front Door 终结点的检测或预防模式记录的请求的详细信息。通过这些日志还可以查看配置了 WAF 的自定义域。

数据流

编辑

此集成收集两种类型的数据流

  • 访问日志
  • WAF 日志

要求

编辑
凭据
编辑

eventhub : 字符串 是完全托管的实时数据引入服务。

consumer_group : 字符串 事件中心的发布/订阅机制通过使用者组启用。使用者组是整个事件中心的视图(状态、位置或偏移量)。使用者组使多个使用者应用程序能够各自拥有事件流的单独视图,并以自己的步调和偏移量独立读取流。默认值:$Default

connection_string : 字符串 与事件中心通信所需的连接字符串,步骤在此处 https://docs.microsoft.com/zh-cn/azure/event-hubs/event-hubs-get-connection-string

需要 Blob 存储帐户才能存储/检索/更新事件中心消息的偏移量或状态。这意味着在停止 filebeat azure 模块后,它可以从停止处理消息的位置重新启动。

storage_account : 字符串 将存储和更新状态/偏移量的存储帐户的名称。

storage_account_key : 字符串 存储帐户密钥,此密钥将用于授权访问存储帐户中的数据。

resource_manager_endpoint : 字符串 可选,默认情况下我们使用 azure 公共环境,要覆盖,用户可以提供特定的资源管理器终结点以使用不同的 azure 环境。例如:https://management.chinacloudapi.cn/ 用于 azure 中国云,https://management.microsoftazure.de/ 用于 azure 德国云,https://management.azure.com/ 用于 azure 公共云,https://management.usgovcloudapi.net/ 用于 azure 美国政府云。在混合云模型的情况下,用户也可以使用此功能,在混合云模型中,可以定义自己的终结点。

访问日志

编辑
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

azure.frontdoor.access.backend_hostname

客户端请求中的主机名。如果启用自定义域并具有通配符域 (*.contoso.com),则主机名为 a.contoso.com。如果使用 Azure Front Door 域 (contoso.azurefd.net),则主机名为 contoso.azurefd.net。

关键词

azure.frontdoor.access.cache_status

提供 CDN 服务在缓存方面如何处理请求的状态代码。

关键词

azure.frontdoor.access.error_info

此字段提供每个响应的错误令牌的详细信息。

关键词

azure.frontdoor.access.identity.authorization.action

操作

关键词

azure.frontdoor.access.identity.authorization.evidence.principal_id

主体 ID

关键词

azure.frontdoor.access.identity.authorization.evidence.principal_type

主体类型

关键词

azure.frontdoor.access.identity.authorization.evidence.role

角色

关键词

azure.frontdoor.access.identity.authorization.evidence.role_assignment_id

角色分配 ID

关键词

azure.frontdoor.access.identity.authorization.evidence.role_assignment_scope

角色分配范围

关键词

azure.frontdoor.access.identity.authorization.evidence.role_definition_id

角色定义 ID

关键词

azure.frontdoor.access.identity.authorization.scope

范围

关键词

azure.frontdoor.access.identity.claims.*

声明

对象

azure.frontdoor.access.identity.claims_initiated_by_user.fullname

全名

关键词

azure.frontdoor.access.identity.claims_initiated_by_user.givenname

名字

关键词

azure.frontdoor.access.identity.claims_initiated_by_user.name

姓名

关键词

azure.frontdoor.access.identity.claims_initiated_by_user.schema

架构

关键词

azure.frontdoor.access.identity.claims_initiated_by_user.surname

姓氏

关键词

azure.frontdoor.access.identity_name

身份名称

关键词

azure.frontdoor.access.is_received_from_client

布尔值。

布尔值

azure.frontdoor.access.pop

响应用户请求的边缘 pop。

关键词

azure.frontdoor.access.routing_rule_name

请求匹配的路由的名称。

关键词

azure.frontdoor.access.rules_engine_match_names

已处理的规则的名称。

关键词

azure.frontdoor.access.time_taken

从 AFD 边缘服务器收到客户端请求到 AFD 将响应的最后一个字节发送到客户端的时间长度,以毫秒为单位。此字段不考虑网络延迟和 TCP 缓冲。

双精度

azure.frontdoor.access.time_to_first_byte

从 AFD 收到请求到将第一个字节发送到客户端的时间长度(以毫秒为单位),如 Azure Front Door 上所测量。此属性不衡量客户端数据。

双精度

azure.frontdoor.category

Azure frontdoor 类别名称。

关键词

azure.frontdoor.operation_name

Azure 操作名称。

关键词

azure.frontdoor.resource_id

Azure 资源 ID。

关键词

azure.frontdoor.tracking_reference

唯一参考字符串,用于标识 AFD 服务的请求,也作为 X-Azure-Ref 标头发送给客户端。必须在访问日志中搜索特定请求的详细信息。

关键词

cloud.image.id

云实例的映像 ID。

关键词

data_stream.dataset

数据流数据集。

常量关键词

data_stream.namespace

数据流命名空间。

常量关键词

data_stream.type

数据流类型。

常量关键词

host.containerized

如果主机是一个容器。

布尔值

host.os.build

OS 构建信息。

关键词

host.os.codename

OS 代码名称(如果有)。

关键词

input.type

输入类型。

关键词

log.offset

日志偏移量。

长整型

WAF 日志

编辑
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

azure.frontdoor.category

Azure frontdoor 类别名称。

关键词

azure.frontdoor.operation_name

Azure 操作名称。

关键词

azure.frontdoor.resource_id

Azure 资源 ID。

关键词

azure.frontdoor.tracking_reference

唯一参考字符串,用于标识 AFD 服务的请求,也作为 X-Azure-Ref 标头发送给客户端。必须在访问日志中搜索特定请求的详细信息。

关键词

azure.frontdoor.waf.details.data

详细数据。

关键词

azure.frontdoor.waf.details.msg

详细信息 msg。

关键词

azure.frontdoor.waf.identity.authorization.action

操作

关键词

azure.frontdoor.waf.identity.authorization.evidence.principal_id

主体 ID

关键词

azure.frontdoor.waf.identity.authorization.evidence.principal_type

主体类型

关键词

azure.frontdoor.waf.identity.authorization.evidence.role

角色

关键词

azure.frontdoor.waf.identity.authorization.evidence.role_assignment_id

角色分配 ID

关键词

azure.frontdoor.waf.identity.authorization.evidence.role_assignment_scope

角色分配范围

关键词

azure.frontdoor.waf.identity.authorization.evidence.role_definition_id

角色定义 ID

关键词

azure.frontdoor.waf.identity.authorization.scope

范围

关键词

azure.frontdoor.waf.identity.claims.*

声明

对象

azure.frontdoor.waf.identity.claims_initiated_by_user.fullname

全名

关键词

azure.frontdoor.waf.identity.claims_initiated_by_user.givenname

名字

关键词

azure.frontdoor.waf.identity.claims_initiated_by_user.name

姓名

关键词

azure.frontdoor.waf.identity.claims_initiated_by_user.schema

架构

关键词

azure.frontdoor.waf.identity.claims_initiated_by_user.surname

姓氏

关键词

azure.frontdoor.waf.identity_name

身份名称

关键词

azure.frontdoor.waf.policy

WAF 策略名称。

关键词

azure.frontdoor.waf.policy_mode

WAF 策略模式。

关键词

cloud.image.id

云实例的映像 ID。

关键词

data_stream.dataset

数据流数据集。

常量关键词

data_stream.namespace

数据流命名空间。

常量关键词

data_stream.type

数据流类型。

常量关键词

host.containerized

如果主机是一个容器。

布尔值

host.os.build

OS 构建信息。

关键词

host.os.codename

OS 代码名称(如果有)。

关键词

input.type

输入类型。

关键词

log.offset

日志偏移量。

长整型

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

2.1.0

增强 (查看拉取请求)
event.kind 设置为 "pipeline_error" 的文档添加 "preserve_original_event" 标记。

8.13.0 或更高版本

2.0.1

错误修复 (查看拉取请求)
在引用提取管道中的变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

2.0.0

重大更改 (查看拉取请求)
将 time_to_first_byte、time_taken 字段中的关键词字段类型更改为双精度,并将 time 字段更改为日期

8.13.0 或更高版本

1.10.0

增强 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

1.9.0

增强 (查看拉取请求)
添加新字段 identity。

8.13.0 或更高版本

1.8.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使其冗余的 ECS 字段。

8.13.0 或更高版本

1.7.0

增强 (查看拉取请求)
将敏感值设置为 secret。

8.12.0 或更高版本

1.6.1

增强 (查看拉取请求)
更改了所有者

8.6.0 或更高版本

1.6.0

增强 (查看拉取请求)
ECS 版本更新为 8.11.0。

8.6.0 或更高版本

1.5.1

错误修复 (查看拉取请求)
修复访问和 WAF 数据流的保留原始事件

8.6.0 或更高版本

1.5.0

增强 (查看拉取请求)
设置 社区 所有者类型。

8.6.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.6.0 或更高版本

1.3.2

错误修复 (查看拉取请求)
删除未使用的 ECS 字段声明。

8.6.0 或更高版本

1.3.1

错误修复 (查看拉取请求)
为重命名处理器添加空值检查和 ignore_missing 检查

8.6.0 或更高版本

1.3.0

增强 (查看拉取请求)
ECS 版本已更新至 8.10.0。

8.6.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.6.0 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

8.6.0 或更高版本

1.0.0

增强 (查看拉取请求)
发布 Azure Frontdoor 的 GA 版本。

8.6.0 或更高版本

0.4.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

0.3.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

0.2.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

0.1.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

0.0.2

Bug 修复 (查看拉取请求)
修改默认存储容器名称以避免冲突

0.0.1

增强 (查看拉取请求)
软件包的初始草案

« Azure 防火墙日志 Azure Functions »