Cisco Duo
编辑Cisco Duo
编辑Cisco Duo 集成从 Cisco Duo 管理 API 收集和解析数据。Duo 管理 API 提供对 Duo Security 双因素身份验证平台的管理功能的编程访问。
兼容性
编辑此模块已针对 Cisco Duo 核心身份验证服务:D224.13 和 管理面板:D224.18 进行过测试
要求
编辑为了从 Cisco Duo 管理 API 摄取数据,您必须
有关每个步骤的更多详细信息,请访问 第一步。
数据流
编辑Cisco Duo 集成收集以下类型事件的日志。
V2 处理程序
编辑Cisco Duo 为某些端点实现了 v2 处理程序。在这些情况下,API v1 处理程序仍然受支持,但将来会受到限制或弃用。
在上面列出的数据流中,目前活动、身份验证和电话日志支持 v2 处理程序。建议在 v2 端点可用时将数据流迁移到这些端点。
配置
编辑配置集成时应考虑以下事项。
- 间隔必须大于或等于
1m。 - Duo 管理 API 从过去 180 天内检索记录,最近可到 API 请求前两分钟。在为 v2 API 端点配置
初始间隔参数时请考虑这一点,因为它不支持d作为后缀,其最大值为4320h,对应于 180 天。 - 对于 v2 API 端点,已添加一个新参数
limit来控制每个响应的记录数。默认值为 100,可以增加到 1000。 - 较大的间隔值可能会导致数据摄取延迟。
日志
编辑活动
编辑这是 activity 数据集。
示例
activity 的示例事件如下所示
{
"@timestamp": "2023-03-21T15:51:22.591Z",
"agent": {
"ephemeral_id": "a04443dc-0f75-4c19-87b0-c1c2b6325eae",
"id": "87f5b0df-c981-4785-8d74-44932a323935",
"name": "elastic-agent-22181",
"type": "filebeat",
"version": "8.13.0"
},
"cisco_duo": {
"activity": {
"access_device": {
"browser": "Chrome",
"browser_version": "111.0.0.0",
"epkey": "EP123456789012345678",
"ip": {
"address": "172.34.40.116"
},
"location": {
"city": "Ann Arbor",
"country": "United States",
"state": "Michigan"
},
"os": "Mac OS X",
"os_version": "10.15.7"
},
"action": {
"name": "webauthncredential_create"
},
"actor": {
"details": {
"created": "2015-09-25T23:17:40.000000+00:00",
"groups": [
{
"key": "DGAZ172QBWDM26AK8ITK",
"name": "CorpHQ_Users"
},
{
"key": "DGK3B7XTSIP00LKHK1RD",
"name": "ITAdmins"
},
{
"key": "DGKZWSBCDADEVFGFK5NR",
"name": "yee"
}
],
"last_login": "2023-03-21T19:51:09.000000+00:00",
"status": "Active"
},
"key": "DU64TKJPJ0SHFWKO2LNBC",
"name": "sogilby",
"type": "user"
},
"akey": "DAAR5FO0OZ4VYZA0WOB2",
"application": {
"key": "DILSVDEYH66TBHKIXGR9",
"name": "Acme Corp",
"type": "websdk"
},
"id": "720b8360-078b-47c4-adc7-7968df1caef0",
"outcome": "FAILURE",
"target": {
"details": {
"authenticator_type": "Security key",
"browser": "Chrome",
"browser_version": "111.0.0.0",
"credential_name": "Security key",
"os": "Mac OS X",
"os_version": "10.15.7",
"passwordless_authorized": false,
"transport_types": "usb",
"user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36"
},
"key": "WAUKH0IMTGP00L90LT4KM",
"name": "WAUKH0IMTG3EDD4DT4KM",
"type": "webauthn_credential"
}
}
},
"data_stream": {
"dataset": "cisco_duo.activity",
"namespace": "62263",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "87f5b0df-c981-4785-8d74-44932a323935",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "webauthncredential_create",
"agent_id_status": "verified",
"dataset": "cisco_duo.activity",
"id": "720b8360-078b-47c4-adc7-7968df1caef0",
"ingested": "2024-11-14T15:12:27Z",
"kind": "event",
"original": "{\"access_device\":{\"browser\":\"Chrome\",\"browser_version\":\"111.0.0.0\",\"epkey\":\"EP123456789012345678\",\"ip\":{\"address\":\"172.34.40.116\"},\"location\":{\"city\":\"Ann Arbor\",\"country\":\"United States\",\"state\":\"Michigan\"},\"os\":\"Mac OS X\",\"os_version\":\"10.15.7\"},\"action\":{\"details\":null,\"name\":\"webauthncredential_create\"},\"activity_id\":\"720b8360-078b-47c4-adc7-7968df1caef0\",\"actor\":{\"details\":\"{\\\"created\\\": \\\"2015-09-25T23:17:40.000000+00:00\\\",\\\"last_login\\\": \\\"2023-03-21T19:51:09.000000+00:00\\\",\\\"status\\\": \\\"Active\\\",\\\"groups\\\": [{\\\"name\\\": \\\"CorpHQ_Users\\\",\\\"key\\\": \\\"DGAZ172QBWDM26AK8ITK\\\"},{\\\"name\\\": \\\"ITAdmins\\\",\\\"key\\\": \\\"DGK3B7XTSIP00LKHK1RD\\\"},{\\\"name\\\": \\\"yee\\\",\\\"key\\\": \\\"DGKZWSBCDADEVFGFK5NR\\\"}]}\",\"key\":\"DU64TKJPJ0SHFWKO2LNBC\",\"name\":\"sogilby\",\"type\":\"user\"},\"akey\":\"DAAR5FO0OZ4VYZA0WOB2\",\"application\":{\"key\":\"DILSVDEYH66TBHKIXGR9\",\"name\":\"Acme Corp\",\"type\":\"websdk\"},\"old_target\":null,\"outcome\":{\"result\":\"FAILURE\"},\"target\":{\"details\":\"{\\\"authenticator_type\\\": \\\"Security key\\\",\\\"transport_types\\\": \\\"usb\\\",\\\"passwordless_authorized\\\": false,\\\"browser\\\": \\\"Chrome\\\",\\\"browser_version\\\": \\\"111.0.0.0\\\",\\\"os\\\": \\\"Mac OS X\\\",\\\"os_version\\\": \\\"10.15.7\\\",\\\"user_agent\\\": \\\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36\\\",\\\"credential_name\\\": \\\"Security key\\\"}\",\"key\":\"WAUKH0IMTGP00L90LT4KM\",\"name\":\"WAUKH0IMTG3EDD4DT4KM\",\"type\":\"webauthn_credential\"},\"ts\":\"2023-03-21T15:51:22.591015+00:00\"}",
"outcome": "failure"
},
"input": {
"type": "cel"
},
"related": {
"ip": [
"172.34.40.116"
],
"user": [
"sogilby"
]
},
"source": {
"ip": "172.34.40.116"
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-activity"
],
"user": {
"name": "sogilby"
},
"user_agent": {
"name": "Chrome",
"os": {
"name": "Mac OS X",
"version": "10.15.7"
},
"version": "111.0.0.0"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.activity.access_device.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
cisco_duo.activity.access_device.as.organization.name |
组织名称。 |
关键字 |
cisco_duo.activity.access_device.browser |
用于访问的网络浏览器。 |
关键字 |
cisco_duo.activity.access_device.browser_version |
网络浏览器版本。 |
关键字 |
cisco_duo.activity.access_device.epkey |
设备的唯一标识符或 epkey。 |
关键字 |
cisco_duo.activity.access_device.geo.city_name |
城市名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.activity.access_device.geo.continent_name |
洲的名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.activity.access_device.geo.country_iso_code |
国家/地区 ISO 代码(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.activity.access_device.geo.country_name |
国家/地区名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.activity.access_device.geo.location |
经度和纬度(基于 IP 地址的地理位置丰富化)。 |
geo_point |
cisco_duo.activity.access_device.geo.region_iso_code |
区域 ISO 代码(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.activity.access_device.geo.region_name |
区域名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.activity.access_device.ip.address |
访问设备的 IP 地址。 |
ip |
cisco_duo.activity.access_device.location.city |
Cisco Duo 提供的城市名称。 |
关键字 |
cisco_duo.activity.access_device.location.country |
Cisco Duo 提供的国家/地区代码。有关可能的国家/地区列表,请参阅 ISO 3166。 |
关键字 |
cisco_duo.activity.access_device.location.state |
Cisco Duo 提供的州、县、省或地区。 |
关键字 |
cisco_duo.activity.access_device.os |
设备操作系统名称。 |
关键字 |
cisco_duo.activity.access_device.os_version |
设备操作系统版本。 |
关键字 |
cisco_duo.activity.action.details |
提供有关操作的其他信息。详细信息是可选的。 |
关键字 |
cisco_duo.activity.action.name |
名称是一个字符串,表示执行者执行的操作。如果存在目标,则该操作是在该目标上执行的。 |
关键字 |
cisco_duo.activity.actor.details |
有关执行者的详细信息。 |
扁平化 |
cisco_duo.activity.actor.key |
执行者的标识符。 |
关键字 |
cisco_duo.activity.actor.name |
执行者的名称。 |
关键字 |
cisco_duo.activity.actor.type |
执行者的类型。以下之一:admin、adminapi、admin_sync、azure_sync、deviceapi、ldapsync、system 或 user。 |
关键字 |
cisco_duo.activity.akey |
与活动日志关联的实体的唯一标识符。 |
关键字 |
cisco_duo.activity.application.key |
应用程序的集成密钥。 |
关键字 |
cisco_duo.activity.application.name |
应用程序的名称。 |
关键字 |
cisco_duo.activity.application.type |
应用程序的类型。 |
关键字 |
cisco_duo.activity.id |
事件的事务 ID。 |
关键字 |
cisco_duo.activity.old_target.details |
有关目标的属性的键值对。给定目标的属性可能因目标类型而异,但对于同一类型应保持一致。 |
扁平化 |
cisco_duo.activity.old_target.key |
与目标类型对应的目标的键。 |
关键字 |
cisco_duo.activity.old_target.name |
目标的名称。 |
关键字 |
cisco_duo.activity.old_target.type |
目标类型。以下之一:admin、adminap_integrations、authproxy、computer_registration、device_registration、enroll_code、group、log_export、login_settings、hardtoken、integration、phone、policy、trusted_endpoints_integration、u2f_token、user、user_bypass 或 webauthn_credentials。 |
关键字 |
cisco_duo.activity.outcome |
ADMIN_ACTION_ADMIN_LOGIN 操作的结果。默认情况下,outcome 字段为“SUCCESS”。失败时,outcome 字段为“FAILURE”。 |
关键字 |
cisco_duo.activity.target.details |
有关目标的属性的键值对。给定目标的属性可能因目标类型而异,但对于同一类型应保持一致。 |
扁平化 |
cisco_duo.activity.target.key |
与目标类型对应的目标的键。 |
关键字 |
cisco_duo.activity.target.name |
目标的名称。 |
关键字 |
cisco_duo.activity.target.type |
目标类型。以下之一:admin、adminap_integrations、authproxy、computer_registration、device_registration、enroll_code、group、log_export、login_settings、hardtoken、integration、phone、policy、trusted_endpoints_integration、u2f_token、user、user_bypass 或 webauthn_credentials。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
管理员
编辑这是 admin 数据集。
示例
admin 的示例事件如下所示
{
"@timestamp": "2021-07-20T11:41:31.000Z",
"agent": {
"ephemeral_id": "2785cbfe-5f49-4cf2-b1c4-7dbc52b0f1fa",
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"cisco_duo": {
"admin": {
"action": "activation_begin",
"user": {
"name": "narroway"
}
}
},
"data_stream": {
"dataset": "cisco_duo.admin",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"action": "activation_begin",
"agent_id_status": "verified",
"created": "2023-05-10T14:54:46.085Z",
"dataset": "cisco_duo.admin",
"ingested": "2023-05-10T14:54:47Z",
"kind": "event",
"original": "{\"action\":\"activation_begin\",\"description\":\"Starting activation process\",\"isotimestamp\":\"2021-07-20T11: 41: 31+00: 00\",\"object\":null,\"timestamp\":1626781291,\"username\":\"narroway\"}",
"outcome": "success",
"reason": "Starting activation process"
},
"input": {
"type": "httpjson"
},
"message": "Starting activation process",
"related": {
"user": [
"narroway"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-admin"
],
"user": {
"name": "narroway"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.admin.action |
执行的更改类型 |
关键字 |
cisco_duo.admin.action_performed_on |
执行操作的对象。 |
关键字 |
cisco_duo.admin.errors |
为事件报告的错误集。 |
match_only_text |
cisco_duo.admin.flattened |
ES 扁平化数据类型,用于事先不知道子字段的对象。 |
扁平化 |
cisco_duo.admin.status |
事件的状态。 |
关键字 |
cisco_duo.admin.user.name |
在 Duo 管理面板中执行操作的管理员的全名。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
身份验证
编辑这是 auth 数据集。
示例
auth 的示例事件如下所示
{
"@timestamp": "2020-02-13T18:56:20.000Z",
"agent": {
"ephemeral_id": "59577463-d70a-4e8d-b98a-f19259ea5754",
"id": "58df2bd8-08b5-427c-9e9f-5bd330eaff86",
"name": "elastic-agent-17284",
"type": "filebeat",
"version": "8.13.0"
},
"cisco_duo": {
"auth": {
"access_device": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"flash_version": "uninstalled",
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.156",
"is_encryption_enabled": "true",
"is_firewall_enabled": "true",
"is_password_set": "true",
"java_version": "uninstalled",
"location": {
"city": "Ann Arbor",
"country": "United States",
"state": "Michigan"
}
},
"application": {
"key": "DIY231J8BR23QK4UKBY8",
"name": "Microsoft Azure Active Directory"
},
"auth_device": {
"ip": "192.168.225.254",
"location": {
"city": "Ann Arbor",
"country": "United States",
"state": "Michigan"
},
"name": "My iPhone X (734-555-2342)"
},
"email": "[email protected]",
"event_type": "authentication",
"factor": "duo_push",
"reason": "user_approved",
"result": "success",
"trusted_endpoint_status": "not trusted",
"txid": "340a23e3-23f3-23c1-87dc-1491a23dfdbb"
}
},
"data_stream": {
"dataset": "cisco_duo.auth",
"namespace": "35756",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "58df2bd8-08b5-427c-9e9f-5bd330eaff86",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"authentication"
],
"dataset": "cisco_duo.auth",
"ingested": "2024-10-10T16:29:11Z",
"kind": "event",
"original": "{\"access_device\":{\"browser\":\"Chrome\",\"browser_version\":\"67.0.3396.99\",\"flash_version\":\"uninstalled\",\"hostname\":null,\"ip\":\"89.160.20.156\",\"is_encryption_enabled\":true,\"is_firewall_enabled\":true,\"is_password_set\":true,\"java_version\":\"uninstalled\",\"location\":{\"city\":\"Ann Arbor\",\"country\":\"United States\",\"state\":\"Michigan\"},\"os\":\"Mac OS X\",\"os_version\":\"10.14.1\",\"security_agents\":null},\"alias\":\"\",\"application\":{\"key\":\"DIY231J8BR23QK4UKBY8\",\"name\":\"Microsoft Azure Active Directory\"},\"auth_device\":{\"ip\":\"192.168.225.254\",\"location\":{\"city\":\"Ann Arbor\",\"country\":\"United States\",\"state\":\"Michigan\"},\"name\":\"My iPhone X (734-555-2342)\"},\"email\":\"[email protected]\",\"event_type\":\"authentication\",\"factor\":\"duo_push\",\"isotimestamp\":\"2020-02-13T18:56:20.351346+00:00\",\"ood_software\":null,\"reason\":\"user_approved\",\"result\":\"success\",\"timestamp\":1581620180,\"trusted_endpoint_status\":\"not trusted\",\"txid\":\"340a23e3-23f3-23c1-87dc-1491a23dfdbb\",\"user\":{\"groups\":[\"Duo Users\",\"CorpHQ Users\"],\"key\":\"DU3KC77WJ06Y5HIV7XKQ\",\"name\":\"[email protected]\"}}",
"outcome": "success",
"reason": "user_approved",
"type": [
"info"
]
},
"input": {
"type": "cel"
},
"related": {
"ip": [
"89.160.20.156",
"192.168.225.254"
],
"user": [
"[email protected]"
]
},
"source": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.156",
"user": {
"email": "[email protected]",
"group": {
"name": [
"Duo Users",
"CorpHQ Users"
]
},
"id": "DU3KC77WJ06Y5HIV7XKQ",
"name": "[email protected]"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-auth"
],
"user": {
"email": "[email protected]",
"id": "DU3KC77WJ06Y5HIV7XKQ",
"name": "[email protected]"
},
"user_agent": {
"name": "Chrome",
"os": {
"name": "Mac OS X",
"version": "10.14.1"
},
"version": "67.0.3396.99"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.auth.access_device.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
cisco_duo.auth.access_device.as.organization.name |
组织名称。 |
关键字 |
cisco_duo.auth.access_device.flash_version |
使用的 Flash 插件版本(如果存在)。 |
关键字 |
cisco_duo.auth.access_device.geo.city_name |
城市名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.access_device.geo.continent_name |
洲的名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.access_device.geo.country_iso_code |
国家/地区 ISO 代码(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.access_device.geo.country_name |
国家/地区名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.access_device.geo.location |
经度和纬度(基于 IP 地址的地理位置丰富化)。 |
geo_point |
cisco_duo.auth.access_device.geo.region_iso_code |
区域 ISO 代码(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.access_device.geo.region_name |
区域名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.access_device.hostname |
主机名(如果存在)。 |
关键字 |
cisco_duo.auth.access_device.ip |
访问设备的 IP 地址。 |
ip |
cisco_duo.auth.access_device.is_encryption_enabled |
报告 Duo 设备运行状况应用检测到的磁盘加密状态。 |
关键字 |
cisco_duo.auth.access_device.is_firewall_enabled |
报告 Duo 设备运行状况应用检测到的防火墙状态。 |
关键字 |
cisco_duo.auth.access_device.is_password_set |
报告 Duo 设备运行状况应用检测到的系统密码状态 |
关键字 |
cisco_duo.auth.access_device.java_version |
使用的 Java 插件版本。 |
关键字 |
cisco_duo.auth.access_device.location.city |
Cisco Duo 提供的访问设备的城市名称。 |
关键字 |
cisco_duo.auth.access_device.location.country |
Cisco Duo 提供的访问设备的国家/地区。 |
关键字 |
cisco_duo.auth.access_device.location.state |
Cisco Duo 提供的访问设备的州名称。 |
关键字 |
cisco_duo.auth.access_device.port |
访问设备的端口号。 |
长整型 |
cisco_duo.auth.access_device.security_agents |
报告 Duo 设备运行状况应用检测到的端点上存在的安全代理。 |
扁平化 |
cisco_duo.auth.alias |
用于登录的用户名别名。 |
关键字 |
cisco_duo.auth.application.key |
应用程序的 integration_key。 |
关键字 |
cisco_duo.auth.application.name |
应用程序的名称。 |
关键字 |
cisco_duo.auth.auth_device.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
cisco_duo.auth.auth_device.as.organization.name |
组织名称。 |
关键字 |
cisco_duo.auth.auth_device.geo.city_name |
城市名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.auth_device.geo.continent_name |
洲的名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.auth_device.geo.country_iso_code |
国家/地区 ISO 代码(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.auth_device.geo.country_name |
国家/地区名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.auth_device.geo.location |
经度和纬度(基于 IP 地址的地理位置丰富化)。 |
geo_point |
cisco_duo.auth.auth_device.geo.region_iso_code |
区域 ISO 代码(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.auth_device.geo.region_name |
区域名称(基于 IP 地址的地理位置丰富化)。 |
关键字 |
cisco_duo.auth.auth_device.ip |
身份验证设备的 IP 地址。 |
ip |
cisco_duo.auth.auth_device.location.city |
Cisco Duo 提供的身份验证设备的城市名称。 |
关键字 |
cisco_duo.auth.auth_device.location.country |
Cisco Duo 提供的身份验证设备的国家/地区。 |
关键字 |
cisco_duo.auth.auth_device.location.state |
Cisco Duo 提供的身份验证设备的州名称。 |
关键字 |
cisco_duo.auth.auth_device.name |
身份验证设备的名称。 |
关键字 |
cisco_duo.auth.auth_device.port |
身份验证设备的网络端口。 |
长整型 |
cisco_duo.auth.email |
用户的电子邮件地址(如果 Duo 知道),否则为无。 |
关键字 |
cisco_duo.auth.event_type |
记录的活动类型。 |
关键字 |
cisco_duo.auth.factor |
身份验证因素。 |
关键字 |
cisco_duo.auth.ood_software |
如果由于软件过时而拒绝身份验证,则显示软件的名称。 |
关键字 |
cisco_duo.auth.reason |
提供身份验证尝试结果的原因。 |
关键字 |
cisco_duo.auth.result |
身份验证尝试的结果。 |
关键字 |
cisco_duo.auth.trusted_endpoint_status |
受信任端点的状态。 |
关键字 |
cisco_duo.auth.txid |
事件的事务 ID。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
离线注册
编辑这是 offline_enrollment 数据集。
示例
offline_enrollment 的示例事件如下所示
{
"@timestamp": "2019-08-30T16:10:05.000Z",
"agent": {
"ephemeral_id": "24599b3c-1dd1-45c6-802a-ec30f6e720cc",
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"cisco_duo": {
"offline_enrollment": {
"action": "o2fa_user_provisioned",
"description": {
"factor": "duo_otp",
"hostname": "WKSW10x64",
"user_agent": "DuoCredProv/4.0.6.413 (Windows NT 6.3.9600; x64; Server)"
},
"object": "Acme Laptop Windows Logon",
"user": {
"name": "narroway"
}
}
},
"data_stream": {
"dataset": "cisco_duo.offline_enrollment",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-05-10T14:56:00.686Z",
"dataset": "cisco_duo.offline_enrollment",
"ingested": "2023-05-10T14:56:04Z",
"original": "{\"action\":\"o2fa_user_provisioned\",\"description\":\"{\\\"user_agent\\\": \\\"DuoCredProv/4.0.6.413 (Windows NT 6.3.9600; x64; Server)\\\", \\\"hostname\\\": \\\"WKSW10x64\\\", \\\"factor\\\": \\\"duo_otp\\\"}\",\"isotimestamp\":\"2019-08-30T16:10:05+00:00\",\"object\":\"Acme Laptop Windows Logon\",\"timestamp\":1567181405,\"username\":\"narroway\"}"
},
"input": {
"type": "httpjson"
},
"related": {
"hosts": [
"WKSW10x64"
],
"user": [
"narroway"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-offline_enrollment"
],
"user": {
"name": "narroway"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.offline_enrollment.action |
离线注册操作 |
关键字 |
cisco_duo.offline_enrollment.description.factor |
用于离线访问的身份验证器类型。 |
关键字 |
cisco_duo.offline_enrollment.description.hostname |
安装了 Duo Windows 登录的系统的主机名。 |
关键字 |
cisco_duo.offline_enrollment.description.user_agent |
Duo Windows 登录应用程序版本信息以及 Windows 操作系统版本和平台信息。 |
关键字 |
cisco_duo.offline_enrollment.object |
Duo Windows 登录集成的名称。 |
关键字 |
cisco_duo.offline_enrollment.user.name |
Duo 用户名 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
摘要
编辑这是 summary 数据集。
示例
summary 的示例事件如下所示
{
"@timestamp": "2023-05-10T14:56:41.873942700Z",
"agent": {
"ephemeral_id": "e03bb3c3-0d99-45e9-bd9d-a30e435ed069",
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"cisco_duo": {
"summary": {
"admin_count": 3,
"integration_count": 9,
"telephony_credits_remaining": 960,
"user_count": 8
}
},
"data_stream": {
"dataset": "cisco_duo.summary",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "cdda426a-7e47-48c4-b2f5-b9f1ad5bf08a",
"snapshot": true,
"version": "8.8.0"
},
"event": {
"agent_id_status": "verified",
"created": "2023-05-10T14:56:40.862Z",
"dataset": "cisco_duo.summary",
"ingested": "2023-05-10T14:56:41Z",
"original": "{\"response\":{\"admin_count\":3,\"integration_count\":9,\"telephony_credits_remaining\":960,\"user_count\":8},\"stat\":\"OK\"}"
},
"input": {
"type": "httpjson"
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-summary"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.summary.admin_count |
帐户中当前的管理员数量。 |
整数 |
cisco_duo.summary.integration_count |
帐户中当前集成的数量。 |
整数 |
cisco_duo.summary.telephony_credits_remaining |
帐户中当前可用的电话信用总额。这是所有类型电话信用的总和。 |
整数 |
cisco_duo.summary.user_count |
帐户中当前的用户数量。 |
整数 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
电话
编辑这是 telephony 数据集。
示例
telephony 的示例事件如下所示
{
"@timestamp": "2020-03-20T15:38:12.000Z",
"agent": {
"ephemeral_id": "e8ad4b18-fbaa-4216-91a3-4607968d61f3",
"id": "0e034435-4ea5-4a95-9f07-151a1467f7d9",
"name": "elastic-agent-20659",
"type": "filebeat",
"version": "8.13.0"
},
"cisco_duo": {
"telephony": {
"credits": 1,
"event_type": "authentication",
"phone_number": "+121234512345",
"type": "sms"
}
},
"data_stream": {
"dataset": "cisco_duo.telephony",
"namespace": "52653",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "0e034435-4ea5-4a95-9f07-151a1467f7d9",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-09-30T16:13:10.700Z",
"dataset": "cisco_duo.telephony",
"ingested": "2024-09-30T16:13:11Z",
"kind": "event",
"original": "{\"context\":\"authentication\",\"credits\":1,\"isotimestamp\":\"2020-03-20T15:38:12+00:00\",\"phone\":\"+121234512345\",\"timestamp\":1584718692,\"type\":\"sms\"}"
},
"input": {
"type": "httpjson"
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-telephony"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.telephony.credits |
此事件消耗了多少电话信用。 |
整数 |
cisco_duo.telephony.event_type |
如何发起此电话事件。 |
关键字 |
cisco_duo.telephony.phone_number |
发起此事件的电话号码。 |
关键字 |
cisco_duo.telephony.type |
此电话事件的类型。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
电话 v2
编辑这是 telephony_v2 数据集。
示例
telephony_v2 的示例事件如下所示
{
"@timestamp": "2022-10-25T16:07:45.304Z",
"agent": {
"ephemeral_id": "cfc63710-9c78-4d83-acc6-cc1f17ea61ae",
"id": "04bc48e2-1bc2-4745-baec-658738d836f3",
"name": "elastic-agent-56970",
"type": "filebeat",
"version": "8.13.0"
},
"cisco_duo": {
"telephony_v2": {
"credits": 0,
"event_type": "administrator login",
"id": "5bf1a860-fe39-49e3-be29-217659663a74",
"phone_number": "+13135559542",
"txid": "fb0c129b-f994-4d3d-953b-c3e764272eb7",
"type": "sms"
}
},
"data_stream": {
"dataset": "cisco_duo.telephony_v2",
"namespace": "98588",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "04bc48e2-1bc2-4745-baec-658738d836f3",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "cisco_duo.telephony_v2",
"id": "5bf1a860-fe39-49e3-be29-217659663a74",
"ingested": "2024-09-30T16:14:08Z",
"kind": "event",
"original": "{\"context\":\"administrator login\",\"credits\":0,\"phone\":\"+13135559542\",\"telephony_id\":\"5bf1a860-fe39-49e3-be29-217659663a74\",\"ts\":\"2022-10-25T16:07:45.304526+00:00\",\"txid\":\"fb0c129b-f994-4d3d-953b-c3e764272eb7\",\"type\":\"sms\"}"
},
"input": {
"type": "cel"
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-telephony_v2"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.telephony_v2.credits |
此事件使用了多少电话信用。 |
整数 |
cisco_duo.telephony_v2.event_type |
使用此电话事件的上下文(例如,管理员登录)。 |
关键字 |
cisco_duo.telephony_v2.id |
电话事件的唯一标识符。 |
关键字 |
cisco_duo.telephony_v2.phone_number |
发起此事件的电话号码。 |
关键字 |
cisco_duo.telephony_v2.txid |
与使用此电话事件的成功身份验证尝试相关的唯一标识符。 |
关键字 |
cisco_duo.telephony_v2.type |
事件类型。可以是“sms”或“phone”。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
信任监视器
编辑这是 trust_monitor 数据集。
示例
trust_monitor 的示例事件如下所示
{
"@timestamp": "2020-11-17T08:48:31.680Z",
"agent": {
"ephemeral_id": "6425e1a1-6171-4b20-ba87-65bf63231ef4",
"id": "a2c45cbf-69cf-4bf5-93e2-df91aa0f8eae",
"name": "elastic-agent-51366",
"type": "filebeat",
"version": "8.13.0"
},
"cisco_duo": {
"trust_monitor": {
"explanations": [
{
"summary": "amanda_tucker has not logged in from this location recently.",
"type": "NEW_COUNTRY_CODE"
},
{
"summary": "amanda_tucker has not logged in from this IP recently.",
"type": "NEW_NETBLOCK"
},
{
"summary": "amanda_tucker has not accessed this application recently.",
"type": "NEW_IKEY"
}
],
"from_common_netblock": true,
"from_new_user": false,
"low_risk_ip": false,
"priority_event": true,
"priority_reasons": [
{
"label": "CN",
"type": "country"
}
],
"sekey": "SEDOR9BP00L23C6YUH5",
"state": "new",
"surfaced_auth": {
"access_device": {
"browser": "Chrome",
"browser_version": "86.0.4240.198",
"epkey": "EP18JX1A10AB102M2T2X",
"ip": "17.88.232.83",
"is_encryption_enabled": "unknown",
"is_firewall_enabled": "unknown",
"is_password_set": "unknown",
"location": {
"city": "Shanghai",
"country": "China",
"state": "Shanghai"
},
"os": "Windows",
"os_version": "10",
"security_agents": "unknown"
},
"alias": "unknown",
"application": {
"key": "DIUD2X62LHMPDP00LXS3",
"name": "Microsoft Azure Active Directory"
},
"factor": "not_available",
"isotimestamp": "2020-11-17T03:19:13.092+00:00",
"reason": "location_restricted",
"result": "denied",
"timestamp": 1605583153,
"txid": "436694ad-467c-4aed-b048-8ad--f58e04c",
"user": {
"groups": [
"crazy"
],
"key": "DUN73JE5M92DP00L4ZYS",
"name": "amanda_tucker"
}
},
"triage_event_uri": "https://admin-xxxxxxxx.duosecurity.com/trust-monitor?sekey=SEDOR9BP00L23C6YUH5",
"triaged_as_interesting": false,
"type": "auth"
}
},
"data_stream": {
"dataset": "cisco_duo.trust_monitor",
"namespace": "54506",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a2c45cbf-69cf-4bf5-93e2-df91aa0f8eae",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "cisco_duo.trust_monitor",
"id": "SEDOR9BP00L23C6YUH5",
"ingested": "2024-10-04T07:55:31Z",
"kind": "event",
"original": "{\"explanations\":[{\"summary\":\"amanda_tucker has not logged in from this location recently.\",\"type\":\"NEW_COUNTRY_CODE\"},{\"summary\":\"amanda_tucker has not logged in from this IP recently.\",\"type\":\"NEW_NETBLOCK\"},{\"summary\":\"amanda_tucker has not accessed this application recently.\",\"type\":\"NEW_IKEY\"}],\"from_common_netblock\":true,\"from_new_user\":false,\"low_risk_ip\":false,\"priority_event\":true,\"priority_reasons\":[{\"label\":\"CN\",\"type\":\"country\"}],\"sekey\":\"SEDOR9BP00L23C6YUH5\",\"state\":\"new\",\"state_updated_timestamp\":null,\"surfaced_auth\":{\"access_device\":{\"browser\":\"Chrome\",\"browser_version\":\"86.0.4240.198\",\"epkey\":\"EP18JX1A10AB102M2T2X\",\"flash_version\":null,\"hostname\":null,\"ip\":\"17.88.232.83\",\"is_encryption_enabled\":\"unknown\",\"is_firewall_enabled\":\"unknown\",\"is_password_set\":\"unknown\",\"java_version\":null,\"location\":{\"city\":\"Shanghai\",\"country\":\"China\",\"state\":\"Shanghai\"},\"os\":\"Windows\",\"os_version\":\"10\",\"security_agents\":\"unknown\"},\"alias\":\"unknown\",\"application\":{\"key\":\"DIUD2X62LHMPDP00LXS3\",\"name\":\"Microsoft Azure Active Directory\"},\"auth_device\":{\"ip\":null,\"key\":null,\"location\":{\"city\":null,\"country\":null,\"state\":null},\"name\":null},\"email\":\"\",\"event_type\":null,\"factor\":\"not_available\",\"isotimestamp\":\"2020-11-17T03:19:13.092+00:00\",\"ood_software\":\"\",\"reason\":\"location_restricted\",\"result\":\"denied\",\"timestamp\":1605583153,\"trusted_endpoint_status\":null,\"txid\":\"436694ad-467c-4aed-b048-8ad--f58e04c\",\"user\":{\"groups\":[\"crazy\"],\"key\":\"DUN73JE5M92DP00L4ZYS\",\"name\":\"amanda_tucker\"}},\"surfaced_timestamp\":1605602911680,\"triage_event_uri\":\"https://admin-xxxxxxxx.duosecurity.com/trust-monitor?sekey=SEDOR9BP00L23C6YUH5\",\"triaged_as_interesting\":false,\"type\":\"auth\"}"
},
"input": {
"type": "cel"
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_duo-trust_monitor"
],
"url": {
"domain": "admin-xxxxxxxx.duosecurity.com",
"original": "https://admin-xxxxxxxx.duosecurity.com/trust-monitor?sekey=SEDOR9BP00L23C6YUH5",
"path": "/trust-monitor",
"query": "sekey=SEDOR9BP00L23C6YUH5",
"scheme": "https"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_duo.trust_monitor.bypass_status_enabled |
为用户或组启用绕过状态时的 Unix 时间戳(以毫秒为单位)。为 type=bypass_status 的事件返回。 |
长整型 |
cisco_duo.trust_monitor.enabled_by.key |
启用绕过状态的应用程序或管理员的密钥。为 type=bypass_status 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.enabled_by.name |
启用绕过状态的应用程序或管理员的名称。为 type=bypass_status 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.enabled_for.key |
具有绕过状态的用户或组的密钥。为 type=bypass_status 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.enabled_for.name |
具有绕过状态的用户或组的名称。为 type=bypass_status 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.explanations.summary |
描述信任监视器显示事件的原因。 |
关键字 |
cisco_duo.trust_monitor.explanations.type |
信任监视器显示事件的原因类型。 |
关键字 |
cisco_duo.trust_monitor.from_common_netblock |
一个布尔值,描述此事件是否是从常用 IP 网络块创建的。为 type=auth 的事件返回。 |
布尔值 |
cisco_duo.trust_monitor.from_new_user |
一个布尔值,描述此事件是否是为新用户创建的。为 type=auth 或 type=device_registration 的事件返回。 |
布尔值 |
cisco_duo.trust_monitor.low_risk_ip |
一个布尔值,描述此事件是否是从风险配置文件配置中标识为低风险 IP 地址的 IP 地址创建的。为 type=auth 的事件返回。 |
布尔值 |
cisco_duo.trust_monitor.priority_event |
一个布尔值,描述该事件是否与风险配置文件配置匹配。 |
布尔值 |
cisco_duo.trust_monitor.priority_reasons.label |
描述事件如何与事件匹配的信任监视器风险配置文件配置相匹配的优先级原因的标签。为 type=auth 或 type=device_registration 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.priority_reasons.type |
描述事件如何与事件匹配的信任监视器风险配置文件配置相匹配的优先级原因的类型。为 type=auth 或 type=device_registration 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.sekey |
此事件的唯一标识符,为 20 个字符的字符串。这在所有不同的事件类型中都是唯一的。 |
关键字 |
cisco_duo.trust_monitor.state |
一个描述事件状态的字符串。可以是 statenew 或 stateprocessed 之一。 |
关键字 |
cisco_duo.trust_monitor.state_updated_timestamp |
上次更改事件状态的 Unix 时间戳(以毫秒为单位)。 |
长整型 |
cisco_duo.trust_monitor.surfaced_auth |
一个表示实际身份验证的对象。为 type=auth 的事件返回。 |
扁平化 |
cisco_duo.trust_monitor.triage_event_uri |
表示安全事件 URI 的字符串,Duo 管理员可以使用该 URI 在 Duo 管理面板中查看和处理显示的事件。为 type=auth 的事件返回。 |
关键字 |
cisco_duo.trust_monitor.triaged_as_interesting |
一个布尔值,描述此事件是否被分类为有趣或不感兴趣。 |
布尔值 |
cisco_duo.trust_monitor.type |
事件类型,为字符串。可以是 auth、bypass_status 或 device_registration 之一。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
如果主机是一个容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.3.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.3.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.6 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.5 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.4 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.3 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.2.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.1.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.5 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.4 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.3 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.2 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.0.0 |
增强功能 (查看拉取请求) 增强功能 (查看拉取请求) 增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.26.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.25.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.23.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.22.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.21.1 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.20.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.19.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.18.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.8.1 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.5.2 |
缺陷修复 (查看拉取请求) |
7.17.2 或更高版本 |
1.5.1 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.2.4 |
缺陷修复 (查看拉取请求) |
7.17.2 或更高版本 |
1.2.3 |
缺陷修复 (查看拉取请求) |
— |
1.2.2 |
缺陷修复 (查看拉取请求) |
7.17.2 或更高版本 |
1.2.1 |
增强 (查看拉取请求) |
7.17.2 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
— |
1.1.6 |
增强 (查看拉取请求) |
— |
1.1.5 |
缺陷修复 (查看拉取请求) |
— |
1.1.4 |
缺陷修复 (查看拉取请求) |
7.17.2 或更高版本 |
1.1.3 |
缺陷修复 (查看拉取请求) |
— |
1.1.2 |
缺陷修复 (查看拉取请求) |
— |
1.1.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
0.2.1 |
缺陷修复 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |