思科 Aironet
编辑思科 Aironet
编辑此集成用于思科 Aironet WLC 日志。它包括以下数据集,用于通过 syslog 接收日志或从文件读取日志
-
log数据集:支持思科 Aironet WLC 日志。
日志
编辑Aironet
编辑log 数据集收集思科 Aironet WLC 日志。系统消息的描述可以从 思科文档 中获取。
示例
log 的示例事件如下所示
{
"@timestamp": "2024-08-20T11:25:50.157Z",
"agent": {
"ephemeral_id": "c47efe0f-c0e2-444b-b292-a9ec40271d4b",
"id": "0335de7e-b2c1-4352-bf23-c023d21c1252",
"name": "elastic-agent-54493",
"type": "filebeat",
"version": "8.15.3"
},
"cisco": {
"interface": {
"type": "wired"
}
},
"client": {
"ip": "fe80::aee2:d3ff:feba:56a4"
},
"data_stream": {
"dataset": "cisco_aironet.log",
"namespace": "59495",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "0335de7e-b2c1-4352-bf23-c023d21c1252",
"snapshot": false,
"version": "8.15.3"
},
"event": {
"action": "ENTRY_DELETED",
"agent_id_status": "verified",
"dataset": "cisco_aironet.log",
"ingested": "2024-11-04T21:04:12Z",
"original": "<134>WLC001: *SISF BT Process: Aug 20 11:25:50.157: %SISF-6-ENTRY_DELETED: sisf_shim_utils.c:482 Entry deleted A=fe80::aee2:d3ff:feba:56a4 V=0 I=wired:1 P=0000 M=",
"provider": "SISF",
"severity": 6,
"timezone": "+00:00"
},
"host": {
"name": "WLC001"
},
"input": {
"type": "udp"
},
"log": {
"level": "informational",
"source": {
"address": "172.29.0.3:33867"
},
"syslog": {
"facility": {
"code": 16
},
"priority": 134,
"severity": {
"code": 6
}
}
},
"message": "Entry deleted A=fe80::aee2:d3ff:feba:56a4 V=0 I=wired:1 P=0000 M=",
"process": {
"name": "SISF BT Process"
},
"tags": [
"preserve_original_event",
"cisco-aironet",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco.eapol.descriptor |
思科 eapol 描述符 |
短整数 |
cisco.eapol.type |
思科 eapol 类型 |
短整数 |
cisco.eapol.version |
思科 eapol 版本 |
短整数 |
cisco.interface.type |
思科接口类型 |
关键词 |
cisco.wps.channel |
思科 WPS 频道 |
短整数 |
cisco.wps.hits |
思科 WPS 命中次数 |
短整数 |
cisco.wps.preced |
思科 WPS 优先级 |
短整数 |
cisco.wps.slot |
思科 WPS 插槽 |
短整数 |
cisco.wps.track |
思科 WPS 跟踪 |
关键词 |
client.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整数 |
client.as.organization.name |
组织名称。 |
关键词 |
client.as.organization.name.text |
|
match_only_text |
client.geo.city_name |
城市名称。 |
关键词 |
client.geo.continent_name |
大洲名称。 |
关键词 |
client.geo.country_iso_code |
国家 ISO 代码。 |
关键词 |
client.geo.country_name |
国家名称。 |
关键词 |
client.geo.location |
经度和纬度。 |
geo_point |
client.geo.region_iso_code |
地区 ISO 代码。 |
关键词 |
client.geo.region_name |
地区名称。 |
关键词 |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
client.mac |
客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键词 |
destination.port |
目标的端口。 |
长整数 |
ecs.version |
此事件符合的 ECS 版本。 |
关键词 |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
event.severity |
根据您的事件源,事件的数字严重程度。不同严重程度值的含义在不同的源和用例之间可能有所不同。由实施者来确保来自同一源的事件的严重程度是一致的。Syslog 严重程度属于 |
长整数 |
input.type |
输入类型。 |
关键词 |
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果该事件不是从日志文件中读取的,请勿填充此字段。 |
关键词 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重程度,则这是放入 |
关键词 |
log.offset |
长整数 |
|
log.source.address |
读取/发送日志事件的源地址。 |
关键词 |
log.syslog.facility.code |
如果可用,则为日志事件的 Syslog 数字工具。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整数 |
log.syslog.priority |
如果可用,则为事件的 Syslog 数字优先级。根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重程度。因此,此数字预计包含 0 到 191 之间的值。 |
长整数 |
log.syslog.severity.code |
如果可用,则为日志事件的 Syslog 数字严重程度。如果通过 Syslog 发布事件的事件源提供了不同的数字严重程度值(例如,防火墙、IDS),则您源的数字严重程度应进入 |
长整数 |
message |
对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,则可以将它们合并为一条消息。 |
match_only_text |
observer.ingress.interface.id |
由观察者报告的接口 ID(通常为 SNMP 接口 ID)。 |
关键词 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.name.text |
|
match_only_text |
server.ip |
服务器的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键词 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
threat.indicator.description |
描述威胁执行的操作类型。 |
关键词 |
threat.indicator.type |
STIX 2.0 中由网络可观测对象表示的指示器类型。 |
关键词 |
user.name |
用户的简称或登录名。 |
关键词 |
user.name.text |
|
match_only_text |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.14.2 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.14.1 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.14.0 |
增强功能 (查看拉取请求) |
8.11.0 或更高版本 |
1.13.3 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.13.2 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.13.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.12.2 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.12.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.11.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.8.0 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
0.0.2 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |