Barracuda CloudGen 防火墙集成
编辑Barracuda CloudGen 防火墙集成
编辑此集成摄取并解析来自 Barracuda CloudGen 防火墙 的日志。
Barracuda CloudGen 防火墙允许您将来自 Firewall Insights 的事件日志流式传输到 Elastic Agent。 这提供了有关防火墙活动、威胁日志以及与受管防火墙单元的网络、版本和位置相关的信息。数据通过 TCP 连接,使用 CloudGen 防火墙内置的通用 Logstash 输出发送到 Elastic Agent。
设置
编辑有关设置步骤的详细演练,请参阅 如何启用 Filebeat 流到 Logstash 管道。 这些步骤是针对 Logstash 服务器作为目标编写的,其中引用“主机名”的地方,请使用运行此集成的 Elastic Agent 的地址和端口。此集成中不使用 Logstash。
日志
编辑这是 Barracuda CloudGen 防火墙的 log 数据集。 以下是一个示例事件以及可以生成的字段列表。
示例
log 的示例事件如下所示
{
"@timestamp": "2020-11-24T15:02:21.000Z",
"agent": {
"ephemeral_id": "b620e757-d3b2-4b59-8c2b-cce4d2f17081",
"id": "70e82165-776e-4b35-98b8-b0c9491f4b6e",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.5.0"
},
"barracuda_cloudgen_firewall": {
"log": {
"app_rule": "<App>:ALL-APPS",
"fw_info": 2007
}
},
"data_stream": {
"dataset": "barracuda_cloudgen_firewall.log",
"namespace": "ep",
"type": "logs"
},
"destination": {
"address": "67.43.156.78",
"as": {
"number": 35908
},
"bytes": 561503,
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.78",
"mac": "00-0C-29-00-D6-00",
"nat": {
"ip": "67.43.156.100"
},
"packets": 439,
"port": 443
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "70e82165-776e-4b35-98b8-b0c9491f4b6e",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"action": "End",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "barracuda_cloudgen_firewall.log",
"duration": -153934592,
"ingested": "2022-09-21T13:30:52Z",
"kind": "event",
"type": [
"end"
]
},
"input": {
"type": "lumberjack"
},
"labels": {
"origin_address": "172.20.0.4:34752"
},
"network": {
"community_id": "1:HGU1tX9W2VUF5ND2ey3X6Niv/AQ=",
"iana_number": "6",
"transport": "tcp",
"type": "ipv4"
},
"observer": {
"egress": {
"interface": {
"name": "eth0"
}
},
"hostname": "cgf-scout-int",
"ingress": {
"interface": {
"name": "eth0"
}
},
"product": "ngfw",
"serial_number": "4f94abdf7a8c465fa2cd76f680ecafd1",
"type": "firewall",
"vendor": "Barracuda"
},
"related": {
"ip": [
"10.17.35.171",
"67.43.156.78"
]
},
"rule": {
"name": "BOX-LAN-2-INTERNET"
},
"source": {
"address": "10.17.35.171",
"bytes": 7450,
"ip": "10.17.35.171",
"mac": "00-0C-29-9A-0A-78",
"nat": {
"ip": "10.17.35.175"
},
"packets": 129,
"port": 40532
},
"tags": [
"barracuda_cloudgen_firewall-log",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。 这是从事件中提取的日期/时间,通常表示事件由源生成的时间。 如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。 所有事件的必填字段。 |
日期 |
barracuda_cloudgen_firewall.log.app_rule |
应用程序规则名称(例如,“<App>:ALL-APPS”) |
关键字 |
barracuda_cloudgen_firewall.log.fw_info |
有关防火墙执行的操作的详细信息。 更多信息请参阅 此处 |
长整型 |
barracuda_cloudgen_firewall.log.traffic_type |
始终为 “0” |
长整型 |
barracuda_cloudgen_firewall.log.user_type |
Web 日志的用户类型。 如果“user”是用户名,则为 1;如果“user”是 IP 地址,则为 0。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.module |
事件模块 |
常量关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
labels.origin_address |
日志来源的远程地址。 |
关键字 |
labels.origin_client_subject |
启用相互 TLS 时,始发客户端提供的 x.509 证书的主题的专有名称。 |
关键字 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.14.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.10.1 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
0.3.1 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |