› ›

Cisco FTD 集成

版本	3.4.4 (查看全部)
兼容的 Kibana 版本	8.11.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此集成用于 Cisco Firepower Threat Defence (FTD) 设备的日志。该软件包处理来自 Cisco Firepower 设备的 syslog 消息

它包括以下数据集，用于通过 syslog 接收日志或从文件读取日志

log 数据集：支持 Cisco Firepower Threat Defense (FTD) 日志。

配置

编辑

Cisco 提供一系列 Firepower 设备，这些设备可能具有不同的配置步骤。我们建议用户导航到设备特定的配置页面，并搜索/转到特定设备的“FTD 日志”或“在 FTD 上配置日志”页面。

处理安全字段

编辑

由于字段 cisco.ftd.security 下存在未知数量的子字段，因此将其映射为 flattened 数据类型。这限制了某些操作（例如聚合）在 cisco.ftd.security 的子字段上执行。有关更多详细信息，请参阅 flattened 数据类型限制。

在分析更多示例日志后，从 Cisco FTD 集成版本 2.21.0 开始，添加了一个新的字段 cisco.ftd.security_event，其中从 cisco.ftd.security 移出了一组已知的字段。通过这一点，用户现在可以对 cisco.ftd.security_event 的子字段执行聚合。除了已经移动的字段之外，如果用户希望将更多字段从 cisco.ftd.security 添加到 cisco.ftd.security_event，他们可以利用在每个文档的现有默认管道末尾自动应用的 @custom 摄取管道。

要为 Cisco FTD 创建添加处理器到此 @custom 管道，用户必须按照以下步骤操作

在 Kibana 中，导航到 Stack Management -> 摄取管道。
单击 创建管道 -> 新管道。
将 名称 添加为 logs-cisco_ftd.log@custom，并添加一个可选的 描述。
添加处理器，将 cisco.ftd.security 中的相应字段重命名为 cisco.ftd.security_event。
- 在 处理器 下，单击 添加处理器。
- 例如，如果要将字段 threat_name 从 cisco.ftd.security 移动到 cisco.ftd.security_event 中，则添加一个 重命名 处理器，其中 字段 为 cisco.ftd.security.threat_name，目标字段 为 cisco.ftd.security_event.threat_name。
- （可选）添加 转换 处理器以转换 cisco.ftd.security_event 下的重命名字段的数据类型。

现在，这些字段在 cisco.ftd.security_event 下可用，用户可以根据需要对 cisco.ftd.security_event 下的子字段执行聚合。

日志

编辑

FTD

编辑

log 数据集收集 Cisco Firepower Threat Defense (FTD) 日志。

示例

log 的一个示例事件如下所示

{
    "@timestamp": "2019-08-16T09:39:02.000Z",
    "agent": {
        "ephemeral_id": "1ab84bcb-b57f-4f6a-bb15-6534c4ceba57",
        "id": "003c2ae5-ffc1-4a61-a309-b9d59a743dda",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.3"
    },
    "cisco": {
        "ftd": {
            "rule_name": "malware-and-file-policy",
            "security": {
                "file_storage_status": "Not Stored (Disposition Was Pending)",
                "threat_name": "Win.Ransomware.Eicar::95.sbx.tg"
            },
            "security_event": {
                "application_protocol": "HTTP",
                "client": "cURL",
                "dst_ip": "81.2.69.144",
                "dst_port": 80,
                "file_action": "Malware Cloud Lookup",
                "file_direction": "Download",
                "file_name": "eicar_com.zip",
                "file_policy": "malware-and-file-policy",
                "file_sandbox_status": "File Size Is Too Small",
                "file_sha256": "2546dcffc5ad854d4ddc64fbf056871cd5a00f2471cb7a5bfd4ac23b6e9eedad",
                "file_size": 184,
                "file_type": "ZIP",
                "first_packet_second": "2019-08-16T09:39:02Z",
                "protocol": "tcp",
                "sha_disposition": "Unavailable",
                "spero_disposition": "Spero detection not performed on file",
                "src_ip": "10.0.1.20",
                "src_port": 46004,
                "uri": "http://www.eicar.org/download/eicar_com.zip",
                "user": "No Authentication Required"
            },
            "threat_category": "Win.Ransomware.Eicar::95.sbx.tg"
        }
    },
    "data_stream": {
        "dataset": "cisco_ftd.log",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "address": "81.2.69.144",
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.144",
        "port": 80
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "003c2ae5-ffc1-4a61-a309-b9d59a743dda",
        "snapshot": false,
        "version": "8.10.3"
    },
    "event": {
        "action": "malware-detected",
        "agent_id_status": "verified",
        "category": [
            "malware",
            "file"
        ],
        "code": "430005",
        "dataset": "cisco_ftd.log",
        "ingested": "2023-11-14T06:10:15Z",
        "kind": "event",
        "original": "2019-08-16T09:39:03Z firepower  %FTD-1-430005: SrcIP: 10.0.1.20, DstIP: 81.2.69.144, SrcPort: 46004, DstPort: 80, Protocol: tcp, FileDirection: Download, FileAction: Malware Cloud Lookup, FileSHA256: 2546dcffc5ad854d4ddc64fbf056871cd5a00f2471cb7a5bfd4ac23b6e9eedad, SHA_Disposition: Unavailable, SperoDisposition: Spero detection not performed on file, ThreatName: Win.Ransomware.Eicar::95.sbx.tg, FileName: eicar_com.zip, FileType: ZIP, FileSize: 184, ApplicationProtocol: HTTP, Client: cURL, User: No Authentication Required, FirstPacketSecond: 2019-08-16T09:39:02Z, FilePolicy: malware-and-file-policy, FileStorageStatus: Not Stored (Disposition Was Pending), FileSandboxStatus: File Size Is Too Small, URI: http://www.eicar.org/download/eicar_com.zip",
        "severity": 1,
        "start": "2019-08-16T09:39:02Z",
        "timezone": "UTC",
        "type": [
            "info"
        ]
    },
    "file": {
        "hash": {
            "sha256": "2546dcffc5ad854d4ddc64fbf056871cd5a00f2471cb7a5bfd4ac23b6e9eedad"
        },
        "name": "eicar_com.zip",
        "size": 184
    },
    "host": {
        "hostname": "firepower"
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "level": "alert",
        "source": {
            "address": "192.168.160.4:39732"
        }
    },
    "network": {
        "application": "curl",
        "community_id": "1:jk2uwniJ2oCG0t73HeZ9w8gtA8E=",
        "direction": "outbound",
        "iana_number": "6",
        "protocol": "http",
        "transport": "tcp"
    },
    "observer": {
        "hostname": "firepower",
        "product": "ftd",
        "type": "idps",
        "vendor": "Cisco"
    },
    "related": {
        "hash": [
            "2546dcffc5ad854d4ddc64fbf056871cd5a00f2471cb7a5bfd4ac23b6e9eedad"
        ],
        "hosts": [
            "firepower"
        ],
        "ip": [
            "10.0.1.20",
            "81.2.69.144"
        ]
    },
    "rule": {
        "ruleset": "malware-and-file-policy"
    },
    "source": {
        "address": "10.0.1.20",
        "ip": "10.0.1.20",
        "port": 46004
    },
    "tags": [
        "preserve_original_event",
        "private_is_internal",
        "cisco-ftd",
        "forwarded"
    ],
    "url": {
        "domain": "www.eicar.org",
        "extension": "zip",
        "original": "http://www.eicar.org/download/eicar_com.zip",
        "path": "/download/eicar_com.zip",
        "scheme": "http"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
cisco.ftd.aaa_type	AAA 操作类型。身份验证、授权或记帐之一。	keyword
cisco.ftd.assigned_ip	成功连接的 VPN 客户端分配的 IP 地址	ip
cisco.ftd.burst.avg_rate	当前看到的平均突发速率	keyword
cisco.ftd.burst.configured_avg_rate	当前配置的允许的平均突发速率	keyword
cisco.ftd.burst.configured_rate	当前配置的突发速率	keyword
cisco.ftd.burst.cumulative_count	自创建或清除对象以来，突发速率命中总次数	keyword
cisco.ftd.burst.current_rate	当前看到的突发速率	keyword
cisco.ftd.burst.id	突发警告的相关速率 ID	keyword
cisco.ftd.burst.object	突发警告的相关对象	keyword
cisco.ftd.command_line_arguments	本地审计日志记录的命令行参数	keyword
cisco.ftd.connection_id	流的唯一标识符。	keyword
cisco.ftd.connection_type	VPN 连接类型	keyword
cisco.ftd.dap_records	已分配的 DAP 记录	keyword
cisco.ftd.destination_interface	流或事件的目标接口。	keyword
cisco.ftd.destination_user_or_sgt	目标用户或安全组标记。	keyword
cisco.ftd.destination_username	作为此事件目标的用户的名称。	keyword
cisco.ftd.icmp_code	ICMP 代码。	short
cisco.ftd.icmp_type	ICMP 类型。	short
cisco.ftd.mapped_destination_host		keyword
cisco.ftd.mapped_destination_ip	已转换的目标 IP 地址。	ip
cisco.ftd.mapped_destination_port	已转换的目标端口。	long
cisco.ftd.mapped_source_host		keyword
cisco.ftd.mapped_source_ip	已转换的源 IP 地址。	ip
cisco.ftd.mapped_source_port	已转换的源端口。	long
cisco.ftd.message_id	Cisco FTD 消息标识符。	keyword
cisco.ftd.privilege.new	当用户的权限发生更改时，这是新值	keyword
cisco.ftd.privilege.old	当用户的权限发生更改时，这是旧值	keyword
cisco.ftd.rule_name	与此事件匹配的访问控制列表规则的名称。	keyword
cisco.ftd.security	Cisco FTD 安全事件字段。	flattened
cisco.ftd.security_event.ac_policy		keyword
cisco.ftd.security_event.access_control_rule_action		keyword
cisco.ftd.security_event.access_control_rule_name		keyword
cisco.ftd.security_event.access_control_rule_reason		keyword
cisco.ftd.security_event.application_protocol		keyword
cisco.ftd.security_event.client		keyword
cisco.ftd.security_event.client_version		keyword
cisco.ftd.security_event.connection_duration		integer
cisco.ftd.security_event.dns_query		keyword
cisco.ftd.security_event.dns_record_type		keyword
cisco.ftd.security_event.dns_response_type		keyword
cisco.ftd.security_event.dns_ttl		integer
cisco.ftd.security_event.dst_ip		ip
cisco.ftd.security_event.dst_port		integer
cisco.ftd.security_event.egress_interface		keyword
cisco.ftd.security_event.egress_zone		keyword
cisco.ftd.security_event.file_action		keyword
cisco.ftd.security_event.file_count		integer
cisco.ftd.security_event.file_direction		keyword
cisco.ftd.security_event.file_name		keyword
cisco.ftd.security_event.file_policy		keyword
cisco.ftd.security_event.file_sandbox_status		keyword
cisco.ftd.security_event.file_sha256		keyword
cisco.ftd.security_event.file_size		integer
cisco.ftd.security_event.file_type		keyword
cisco.ftd.security_event.first_packet_second		date
cisco.ftd.security_event.http_referer		keyword
cisco.ftd.security_event.http_response		integer
cisco.ftd.security_event.icmp_code		keyword
cisco.ftd.security_event.icmp_type		keyword
cisco.ftd.security_event.ingress_interface		keyword
cisco.ftd.security_event.ingress_zone		keyword
cisco.ftd.security_event.initiator_bytes		long
cisco.ftd.security_event.initiator_packets		integer
cisco.ftd.security_event.nap_policy		keyword
cisco.ftd.security_event.prefilter_policy		keyword
cisco.ftd.security_event.protocol		keyword
cisco.ftd.security_event.referenced_host		keyword
cisco.ftd.security_event.responder_bytes		long
cisco.ftd.security_event.responder_packets		integer
cisco.ftd.security_event.sha_disposition		keyword
cisco.ftd.security_event.spero_disposition		keyword
cisco.ftd.security_event.src_ip		ip
cisco.ftd.security_event.src_port		integer
cisco.ftd.security_event.ssl_actual_action		keyword
cisco.ftd.security_event.ssl_certificate		keyword
cisco.ftd.security_event.ssl_expected_action		keyword
cisco.ftd.security_event.ssl_flow_status		keyword
cisco.ftd.security_event.ssl_policy		keyword
cisco.ftd.security_event.ssl_rule_name		keyword
cisco.ftd.security_event.ssl_server_cert_status		keyword
cisco.ftd.security_event.ssl_server_name		keyword
cisco.ftd.security_event.ssl_session_id		keyword
cisco.ftd.security_event.ssl_ticket_id		keyword
cisco.ftd.security_event.ssl_version		keyword
cisco.ftd.security_event.sslurl_category		keyword
cisco.ftd.security_event.tunnel_or_prefilter_rule		keyword
cisco.ftd.security_event.uri		keyword
cisco.ftd.security_event.url		keyword
cisco.ftd.security_event.url_category		keyword
cisco.ftd.security_event.url_reputation		keyword
cisco.ftd.security_event.user		keyword
cisco.ftd.security_event.user_agent		keyword
cisco.ftd.security_event.web_application		keyword
cisco.ftd.session_type	会话类型（例如，IPsec 或 UDP）。	keyword
cisco.ftd.source_interface	流或事件的源接口。	keyword
cisco.ftd.source_user_or_sgt	源用户或安全组标记。	keyword
cisco.ftd.source_username	作为此事件源的用户的名称。	keyword
cisco.ftd.suffix	%FTD 标识符后的可选后缀。	keyword
cisco.ftd.termination_user	请求终止的用户的 AAA 名称	keyword
cisco.ftd.threat_category	恶意软件/僵尸网络流量的类别。例如：病毒、僵尸网络、木马等。	keyword
cisco.ftd.threat_level	恶意软件/僵尸网络流量的威胁级别。非常低、低、中、高或非常高之一。	keyword
cisco.ftd.translation_type	转换类型	keyword
cisco.ftd.tunnel_type	SA 类型（远程访问或 L2L）	keyword
cisco.ftd.username		keyword
cisco.ftd.webvpn.group_name	用户所属的 WebVPN 组名称	keyword
client.address	某些事件客户端地址的定义不明确。该事件有时会列出 IP、域名或 unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其重复到 `.ip` 或 `.domain`，具体取决于它是哪一个。	keyword
client.domain	客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件，也可能从扩充中添加。	keyword
client.ip	客户端的 IP 地址（IPv4 或 IPv6）。	ip
client.port	客户端的端口。	long
client.user.name	用户的短名称或登录名。	keyword
client.user.name.text	`client.user.name` 的多字段。	match_only_text
cloud.account.id	用于在多租户环境中识别不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。	keyword
cloud.availability_zone	此主机运行所在的可用区。	keyword
cloud.image.id	云实例的映像 ID。	keyword
cloud.instance.id	主机机器的实例 ID。	keyword
cloud.instance.name	主机机器的实例名称。	keyword
cloud.machine.type	主机机器的机器类型。	keyword
cloud.project.id	Google Cloud 中项目的名称。	keyword
cloud.provider	云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。	keyword
cloud.region	此主机运行所在的区域。	keyword
container.id	唯一容器 ID。	keyword
container.image.name	容器构建所基于的镜像名称。	keyword
container.labels	镜像标签。	对象
container.name	容器名称。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.address	某些事件目标地址的定义是模糊的。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	keyword
destination.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。	long
destination.as.organization.name	组织名称。	keyword
destination.as.organization.name.text	`destination.as.organization.name` 的多字段。	match_only_text
destination.bytes	从目标发送到源的字节数。	long
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或通过富化添加。	keyword
destination.geo.city_name	城市名称。	keyword
destination.geo.continent_code	表示大陆名称的两位字母代码。	keyword
destination.geo.continent_name	大陆名称。	keyword
destination.geo.country_iso_code	国家/地区 ISO 代码。	keyword
destination.geo.country_name	国家/地区名称。	keyword
destination.geo.location	经度和纬度。	geo_point
destination.geo.name	用户定义的位置描述，精确到他们关心的粒度级别。如果这描述的是本地物理实体，则可以是他们的数据中心的名称、楼层号、城市名称。通常不用于自动地理位置定位。	keyword
destination.geo.postal_code	与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。	keyword
destination.geo.region_iso_code	区域 ISO 代码。	keyword
destination.geo.region_name	区域名称。	keyword
destination.geo.timezone	位置的时区，例如 IANA 时区名称。	keyword
destination.ip	目标 IP 地址（IPv4 或 IPv6）。	ip
destination.nat.ip	基于 NAT 会话的目标转换 IP（例如，互联网到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。	ip
destination.nat.port	源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。	long
destination.packets	从目标发送到源的数据包。	long
destination.port	目标的端口。	long
destination.user.domain	用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。	keyword
destination.user.email	用户电子邮件地址。	keyword
destination.user.name	用户的短名称或登录名。	keyword
destination.user.name.text	`destination.user.name` 的多字段。	match_only_text
device.manufacturer	设备制造商的供应商名称。	keyword
device.model.name	设备型号的人工可读营销名称。	keyword
dns.question.name	正在查询的名称。如果名称字段包含不可打印的字符（低于 32 或高于 126），则应将这些字符表示为转义的十进制整数 (\DDD)。反斜杠和引号应进行转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。	keyword
dns.question.registered_domain	最高的已注册域，已剥离子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表之类的列表精确确定此值（http://publicsuffix.org）。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 效果不佳。	keyword
dns.question.subdomain	子域是 registered_domain 下的所有标签。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。	keyword
dns.question.top_level_domain	有效的顶级域名 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表之类的列表精确确定此值（http://publicsuffix.org）。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 效果不佳。	keyword
dns.question.type	正在查询的记录类型。	keyword
dns.response_code	DNS 响应代码。	keyword
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是一个必填字段，并且必须存在于所有事件中。当跨多个索引查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整到事件的架构版本。	keyword
error.message	错误消息。	match_only_text
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。示例包括 `group-add`、`process-started`、`file-created`。该值通常由实现者定义。	keyword
event.category	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。`event.category` 表示 ECS 类别的“大桶”。例如，过滤 `event.category:process` 会产生所有与进程活动相关的事件。此字段与用作子类别的 `event.type` 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当分类。	keyword
event.code	此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或随着时间推移的措辞调整如何。一个示例是 Windows 事件 ID。	keyword
event.created	`event.created` 包含代理或管道首次读取事件时的日期/时间。此字段与 `@timestamp` 不同，因为 `@timestamp` 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用差值来计算源生成事件的时间与代理首次处理事件的时间之间的延迟。这可以用来监控代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 `@timestamp`。	date
event.dataset	事件数据集	constant_keyword
event.duration	事件的持续时间（以纳秒为单位）。如果知道 `event.start` 和 `event.end`，则此值应为结束时间和开始时间之间的差值。	long
event.end	`event.end` 包含事件结束或上次观察到活动时的日期。	date
event.ingested	事件到达中央数据存储区的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳在时间顺序上应如下所示：`@timestamp` < `event.created` < `event.ingested`。	date
event.kind	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最高级别。`event.kind` 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值将警报事件与度量事件区分开。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留、不同的访问控制，它还有助于了解数据是否以规则的时间间隔传入。	keyword
event.module	事件模块	constant_keyword
event.original	整个事件的原始文本消息。用于演示日志完整性，或者需要完整的日志消息（在将其拆分为多个部分之前）的位置，例如，用于重新索引。此字段未建立索引，并且禁用了 doc_values。它无法搜索，但可以从 `_source` 中检索。如果用户希望覆盖此并为此字段建立索引，请参阅 `Elasticsearch 参考`中的 `字段数据类型`。	keyword
event.outcome	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最低级别。`event.outcome` 仅表示从生成事件的实体的角度来看，事件是否表示成功或失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据它们的角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生成者角度的总体成功或失败的值。进一步注意，并非所有事件都将具有关联的结果。例如，通常不会为度量事件、具有 `event.type:info` 的事件或任何结果不合逻辑的事件填充此字段。	keyword
event.provider	事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统的子系统（内核、Microsoft-Windows-Security-Auditing）。	keyword
event.reason	根据源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。其中 `event.action` 从事件中捕获操作，`event.reason` 描述了采取该操作的原因。例如，具有拒绝请求的 `event.action` 的 Web 代理也可以使用其原因填充 `event.reason` （例如 `阻止的站点`）。	keyword
event.severity	根据事件源，事件的数值严重性。不同严重性值的含义在不同的来源和用例之间可能有所不同。由实现者确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 `log.syslog.severity.code`。`event.severity` 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自己的严重性，您可以选择将 `log.syslog.severity.code` 复制到 `event.severity`。	long
event.start	`event.start` 包含事件开始或首次观察到活动时的日期。	date
event.timezone	当事件的时间戳不包含时区信息时（例如，默认的 Syslog 时间戳），应填写此字段。否则，此字段为可选。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写形式（例如，“EST”）或 HH:mm 时差（例如，“-05:00”）。	keyword
event.type	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。 `event.type` 表示一个分类“子类别”，当与 `event.category` 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当分类。	keyword
file.hash.sha256	SHA256 哈希值。	keyword
file.name	文件名，包括扩展名，但不包括目录。	keyword
file.path	文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。	keyword
file.path.text	`file.path` 的多字段。	match_only_text
file.size	文件大小，以字节为单位。仅当 `file.type` 为“file”时相关。	long
host.architecture	操作系统架构。	keyword
host.containerized	主机是否为容器。	boolean
host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域名。	keyword
host.hostname	主机的 hostname。它通常包含主机上 `hostname` 命令返回的内容。	keyword
host.id	唯一的主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 `beat.name` 的用法。	keyword
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。	keyword
host.name	主机名。它可以包含 Unix 系统上 `hostname` 返回的内容、完全限定的域名或用户指定的名称。发送者决定使用哪个值。	keyword
host.os.build	操作系统构建信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
host.os.family	操作系统系列（例如，redhat、debian、freebsd、windows）。	keyword
host.os.full	操作系统名称，包括版本或代号。	keyword
host.os.full.text	`host.os.full` 的多字段。	match_only_text
host.os.kernel	操作系统内核版本，以原始字符串形式表示。	keyword
host.os.name	操作系统名称，不包括版本。	keyword
host.os.name.text	`host.os.name` 的多字段。	text
host.os.platform	操作系统平台（例如，centos、ubuntu、windows）。	keyword
host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您正在处理的操作系统未列为预期值，则不应填写该字段。请通过向 ECS 打开一个 issue 来告知我们，以建议添加它。	keyword
host.os.version	操作系统版本，以原始字符串形式表示。	keyword
host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，则这可以是容器，例如，或您环境中其他有意义的信息。	keyword
http.request.referrer	此 HTTP 请求的引用页。	keyword
http.response.status_code	HTTP 响应状态代码。	long
input.type	输入类型。	keyword
labels	自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：`docker` 和 `k8s` 标签。	对象
log.file.path	此事件来自的日志文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。如果事件不是从日志文件中读取的，请勿填写此字段。	keyword
log.level	日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则此级别将放入 `log.level` 中。如果您的源未指定级别，您可以在此处放置您的事件传输的严重性（例如，Syslog 严重性）。一些示例包括 `warn`、`err`、`i`、`informational`。	keyword
log.offset	日志文件中条目的偏移量。	long
log.source.address	读取/发送日志事件的源地址。	keyword
log.syslog.facility.code	日志事件的 Syslog 数字设备代码（如果可用）。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。	long
log.syslog.priority	事件的 Syslog 数字优先级（如果可用）。根据 RFC 5424 和 3164，优先级为 8 * 设备 + 严重性。因此，此数字的值应介于 0 和 191 之间。	long
log.syslog.severity.code	日志事件的 Syslog 数字严重性（如果可用）。如果通过 Syslog 发布事件的事件源提供不同的数字严重性值（例如，防火墙、IDS），则源的数字严重性应转到 `event.severity`。如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 `event.severity`。	long
message	对于日志事件，message 字段包含日志消息，经过优化以便在日志查看器中查看。对于没有原始 message 字段的结构化日志，可以将其他字段连接起来以形成事件的人类可读摘要。如果存在多个消息，可以将它们合并为一个消息。	match_only_text
network.application	当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）中识别出特定应用程序或服务时，此字段捕获应用程序或服务的名称。例如，原始事件标识网络连接来自 `https` 网络连接中的特定 Web 服务，如 `facebook` 或 `twitter`。字段值必须规范化为小写以进行查询。	keyword
network.bytes	双向传输的总字节数。如果知道 `source.bytes` 和 `destination.bytes`，则 `network.bytes` 是它们的总和。	long
network.community_id	源 IP 和目标 IP、端口以及通信中使用的协议的哈希值。这是一个工具无关的标准，用于识别流。有关详细信息，请访问 https://github.com/corelight/community-id-spec。	keyword
network.direction	网络流量的方向。当从基于主机的监控上下文中映射事件时，请从主机的角度使用值“ingress”或“egress”来填充此字段。当从基于网络或边界的监控上下文中映射事件时，请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”来填充此字段。请注意，“internal”不跨越边界，旨在描述边界内两个主机之间的通信。另请注意，“external”旨在描述两个边界外部主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。	keyword
network.iana_number	IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。	keyword
network.inner	除了 network.vlan 字段外，还添加了 Network.inner 字段来描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当将具有多个 802.1q 封装的流量发送到网络传感器（例如，Zeek、Wireshark）时，通常使用内部 VLAN 字段。	group
network.inner.vlan.id	观察者报告的 VLAN ID。	keyword
network.inner.vlan.name	观察者报告的可选 VLAN 名称。	keyword
network.protocol	在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。字段值必须规范化为小写以进行查询。	keyword
network.transport	与 network.iana_number 相同，但改为使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。字段值必须规范化为小写以进行查询。	keyword
network.type	在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须规范化为小写以进行查询。	keyword
observer.egress.interface.name	系统报告的接口名称。	keyword
observer.egress.zone	观察者报告的出站流量的网络区域，用于对出站流量的目标区域进行分类，例如，内部、外部、DMZ、HR、法律等。	keyword
observer.geo.city_name	城市名称。	keyword
observer.geo.continent_code	表示大陆名称的两位字母代码。	keyword
observer.geo.continent_name	大陆名称。	keyword
observer.geo.country_iso_code	国家/地区 ISO 代码。	keyword
observer.geo.country_name	国家/地区名称。	keyword
observer.geo.location	经度和纬度。	geo_point
observer.geo.name	用户定义的位置描述，精确到他们关心的粒度级别。如果这描述的是本地物理实体，则可以是他们的数据中心的名称、楼层号、城市名称。通常不用于自动地理位置定位。	keyword
observer.geo.postal_code	与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。	keyword
observer.geo.region_iso_code	区域 ISO 代码。	keyword
observer.geo.region_name	区域名称。	keyword
observer.geo.timezone	位置的时区，例如 IANA 时区名称。	keyword
observer.hostname	观察者的主机名。	keyword
observer.ingress.interface.name	系统报告的接口名称。	keyword
observer.ingress.zone	观察者报告的入站流量的网络区域，用于对入站流量的源区域进行分类。例如，内部、外部、DMZ、HR、法律等。	keyword
observer.ip	观察者的 IP 地址。	ip
observer.name	观察者的自定义名称。这是可以赋予观察者的名称。例如，如果组织中使用多个相同型号的防火墙，则这可能会有所帮助。如果不需要自定义名称，则该字段可以留空。	keyword
observer.product	观察者的产品名称。	keyword
observer.type	数据来自的观察者的类型。没有预定义的观察者类型列表。一些示例包括 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor`、`APM server`。	keyword
observer.vendor	观察者的供应商名称。	keyword
observer.version	观察者版本。	keyword
process.name	进程名称。有时称为程序名称或类似名称。	keyword
process.name.text	`process.name` 的多字段。	match_only_text
process.pid	进程 ID。	long
related.hash	在您的事件中看到的所有哈希值。填充此字段，然后使用它来搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。	keyword
related.hosts	在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	keyword
related.ip	在您的事件中看到的所有 IP。	ip
related.user	在事件中看到的所有用户名或其他用户标识符。	keyword
rule.id	在代理、观察者或使用规则检测此事件的其他实体的范围内唯一的规则 ID。	keyword
rule.name	生成事件的规则或签名名称。	keyword
rule.ruleset	用于生成此事件的规则所属的规则集、策略、组或父类别的名称。	keyword
rule.version	用于分析的规则的版本/修订版。	keyword
server.address	某些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	keyword
server.domain	服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	keyword
server.ip	服务器的 IP 地址（IPv4 或 IPv6）。	ip
server.port	服务器的端口。	long
server.user.name	用户的短名称或登录名。	keyword
server.user.name.text	`server.user.name` 的多字段。	match_only_text
service.id	正在运行的服务的唯一标识符。如果服务由多个节点组成，则所有节点的 `service.id` 应相同。此 ID 应唯一标识服务。这使得可以关联一个特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务的某个特定主机的事件，则应改为筛选该 `host.name` 或 `host.id`。	keyword
source.address	某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	keyword
source.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。	long
source.as.organization.name	组织名称。	keyword
source.as.organization.name.text	`source.as.organization.name` 的多字段。	match_only_text
source.bytes	从源发送到目标的字节数。	long
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	keyword
source.geo.city_name	城市名称。	keyword
source.geo.continent_code	表示大陆名称的两位字母代码。	keyword
source.geo.continent_name	大陆名称。	keyword
source.geo.country_iso_code	国家/地区 ISO 代码。	keyword
source.geo.country_name	国家/地区名称。	keyword
source.geo.location	经度和纬度。	geo_point
source.geo.name	用户定义的位置描述，精确到他们关心的粒度级别。如果这描述的是本地物理实体，则可以是他们的数据中心的名称、楼层号、城市名称。通常不用于自动地理位置定位。	keyword
source.geo.postal_code	与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。	keyword
source.geo.region_iso_code	区域 ISO 代码。	keyword
source.geo.region_name	区域名称。	keyword
source.geo.timezone	位置的时区，例如 IANA 时区名称。	keyword
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.nat.ip	基于源 NAT 会话转换的源 IP（例如，内部客户端到 Internet）。通常是遍历负载均衡器、防火墙或路由器的连接。	ip
source.nat.port	基于源 NAT 会话转换的源端口。（例如，内部客户端到 Internet）通常与负载均衡器、防火墙或路由器一起使用。	long
source.packets	从源发送到目标的数据包。	long
source.port	源的端口。	long
source.user.domain	用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。	keyword
source.user.email	用户电子邮件地址。	keyword
source.user.group.name	组的名称。	keyword
source.user.name	用户的短名称或登录名。	keyword
source.user.name.text	`source.user.name` 的多字段。	match_only_text
tags	用于标记每个事件的关键字列表。	keyword
url.domain	URL 的域名，例如 “https://elastic.ac.cn[www.elastic.co]”。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将转到 `domain` 字段。如果 URL 包含用 `[` 和 `]` (IETF RFC 2732) 括起来的文字 IPv6 地址，则 `[` 和 `]` 字符也应捕获到 `domain` 字段中。	keyword
url.extension	该字段包含来自原始请求 URL 的文件扩展名，不包括前导点。仅当文件扩展名存在时才会设置，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须是“png”，而不是“.png”。请注意，当文件名有多个扩展名（例如 example.tar.gz）时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	keyword
url.fragment	URL 中 `#` 之后的部分，例如“top”。`#` 不是片段的一部分。	keyword
url.full	如果完整 URL 对您的用例很重要，则应将其存储在 `url.full` 中，无论此字段是重建的还是存在于事件源中。	wildcard
url.full.text	`url.full` 的多字段。	match_only_text
url.original	事件源中看到的未经修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整的 URL，而在访问日志中，URL 通常只表示为路径。此字段旨在表示观察到的 URL，无论完整与否。	wildcard
url.original.text	`url.original` 的多字段。	match_only_text
url.password	请求的密码。	keyword
url.path	请求的路径，例如“/search”。	wildcard
url.port	请求的端口，例如 443。	long
url.query	查询字段描述请求的查询字符串，例如“q=elasticsearch”。`?` 从查询字符串中排除。如果 URL 不包含 `?`，则没有查询字段。如果有 `?` 但没有查询，则查询字段存在，其中包含空字符串。可以使用 `exists` 查询来区分这两种情况。	keyword
url.registered_domain	最高的注册 URL 域，去掉子域。例如，“foo.example.com”的注册域是“example.com”。可以通过公共后缀列表之类的列表精确确定此值 (http://publicsuffix.org)。尝试通过简单地取最后两个标签来近似此值对于 “co.uk”之类的 TLD 将无法正常工作。	keyword
url.scheme	请求的方案，例如“https”。注意：`:` 不是方案的一部分。	keyword
url.subdomain	完全限定域名的子域部分包括注册域下所有名称，但不包括主机名。在部分限定域名中，或者如果无法确定完整名称的限定级别，则子域包含注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分为“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。	keyword
url.top_level_domain	有效的顶级域名 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表之类的列表精确确定此值（http://publicsuffix.org）。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 效果不佳。	keyword
url.username	请求的用户名。	keyword
user.email	用户电子邮件地址。	keyword
user.id	用户的唯一标识符。	keyword
user.name	用户的短名称或登录名。	keyword
user.name.text	`user.name` 的多字段。	match_only_text
user_agent.original	未解析的 user_agent 字符串。	keyword
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
3.4.4	Bug 修复 (查看拉取请求) 修复了 ftd 消息 ID 305006 上的 grok 错误。根据规范添加了其他匹配模式。	8.11.0 或更高版本
3.4.3	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三括号 Mustache 模板。	8.11.0 或更高版本
3.4.2	Bug 修复 (查看拉取请求) 修复了 ftd messageID 上带空格的用户名导致的 grok 失败。	8.11.0 或更高版本
3.4.1	Bug 修复 (查看拉取请求) 修复了消息 ID 210007、305013 和 302023 的解析问题。	8.11.0 或更高版本
3.4.0	增强功能 (查看拉取请求) 允许 @custom 管道访问 event.original，而无需设置 preserve_original_event。	8.11.0 或更高版本
3.3.1	Bug 修复 (查看拉取请求) 修复了消息 ID 716002 和 722051 的用户名处理问题，支持空格	7.16.0 或更高版本 8.0.0 或更高版本
3.3.0	增强功能 (查看拉取请求) 添加了对消息 ID 113042、210007、305006、305013、401004 和 500004 的解析	7.16.0 或更高版本 8.0.0 或更高版本
3.2.5	Bug 修复 (查看拉取请求) 解析消息 ID 313005 的 src/dst	7.16.0 或更高版本 8.0.0 或更高版本
3.2.4	Bug 修复 (查看拉取请求) 修复摄取管道警告	7.16.0 或更高版本 8.0.0 或更高版本
3.2.3	Bug 修复 (查看拉取请求) 将 FTD 后缀视为可选	7.16.0 或更高版本 8.0.0 或更高版本
3.2.2	Bug 修复 (查看拉取请求) 在计算事件 113019 的字节数时处理空网络	7.16.0 或更高版本 8.0.0 或更高版本
3.2.1	Bug 修复 (查看拉取请求) 支持消息 ID 113005 的隐藏用户名	7.16.0 或更高版本 8.0.0 或更高版本
3.2.0	增强功能 (查看拉取请求) 将包规范更新为 3.0.3。	7.16.0 或更高版本 8.0.0 或更高版本
3.1.3	增强功能 (查看拉取请求) 扩展 grok 模式以处理消息 302013、302014 的 TCP 探测	7.16.0 或更高版本 8.0.0 或更高版本
3.1.2	错误修复 (查看拉取请求) 空值处理和其他清理	7.16.0 或更高版本 8.0.0 或更高版本
3.1.1	增强 (查看拉取请求) 更改了所有者	7.16.0 或更高版本 8.0.0 或更高版本
3.1.0	增强 (查看拉取请求) 保留源用户和目标用户的电子邮件地址。	7.16.0 或更高版本 8.0.0 或更高版本
3.0.3	错误修复 (查看拉取请求) 当未配置区域时，为网络方向性添加了空值检查	7.16.0 或更高版本 8.0.0 或更高版本
3.0.2	错误修复 (查看拉取请求) 修复了 113005 消息中空格的处理。	7.16.0 或更高版本 8.0.0 或更高版本
3.0.1	错误修复 (查看拉取请求) 修复 exclude_files 模式。	7.16.0 或更高版本 8.0.0 或更高版本
3.0.0	增强 (查看拉取请求) 从扁平化的安全字段中提取 security_event 字段组。注意 - 这是一个重大更改。	7.16.0 或更高版本 8.0.0 或更高版本
2.20.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.19.0	增强 (查看拉取请求) 改进了 _event.original_ 检查，以避免设置时出错。	7.16.0 或更高版本 8.0.0 或更高版本
2.18.2	错误修复 (查看拉取请求) 修复了从 ECS 导入的空组的字段映射	7.16.0 或更高版本 8.0.0 或更高版本
2.18.1	错误修复 (查看拉取请求) 删除冗余的正则表达式量词。	7.16.0 或更高版本 8.0.0 或更高版本
2.18.0	增强 (查看拉取请求) 将软件包 format_version 更新为 3.0.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.17.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.10.0 并对齐 ECS 分类字段。	7.16.0 或更高版本 8.0.0 或更高版本
2.16.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和保存的搜索使用“安全解决方案”进行标记，并在安全解决方案 UI 中显示。	7.16.0 或更高版本 8.0.0 或更高版本
2.15.0	增强 (查看拉取请求) 将 package-spec 更新到 2.10.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.14.1	错误修复 (查看拉取请求) 添加缺少的地理字段映射	7.16.0 或更高版本 8.0.0 或更高版本
2.14.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.9.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.13.2	错误修复 (查看拉取请求) 修复 source.bytes 和 destination.bytes 类型	7.16.0 或更高版本 8.0.0 或更高版本
2.13.1	错误修复 (查看拉取请求) 删除无效 ID	7.16.0 或更高版本 8.0.0 或更高版本
2.13.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	7.16.0 或更高版本 8.0.0 或更高版本
2.12.1	错误修复 (查看拉取请求) 修复 VPN event.action	7.16.0 或更高版本 8.0.0 或更高版本
2.12.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.8.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.11.1	增强 (查看拉取请求) 允许从 IP 范围解析网络方向。错误修复 (查看拉取请求) 更正消息 ID 302013、302015 的管道中的差异。	—
2.11.0	增强 (查看拉取请求) 为 `rule`、`device` 和 `host` 添加 ECS 字段	7.16.0 或更高版本 8.0.0 或更高版本
2.10.2	错误修复 (查看拉取请求) 支持 113012、113004 和 716039 消息中的其他模式	7.16.0 或更高版本 8.0.0 或更高版本
2.10.1	错误修复 (查看拉取请求) 将 source.bytes 和 destination.bytes 转换为整数	7.16.0 或更高版本 8.0.0 或更高版本
2.10.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.7.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.9.2	增强 (查看拉取请求) 添加 network.bytes 和 dns.question.registered_name	7.16.0 或更高版本 8.0.0 或更高版本
2.9.1	增强 (查看拉取请求) 添加了类别和/或子类别。	7.16.0 或更高版本 8.0.0 或更高版本
2.9.0	增强 (查看拉取请求) 允许配置时区。	7.16.0 或更高版本 8.0.0 或更高版本
2.8.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.6.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.7.0	增强 (查看拉取请求) 将 `udp_options` 添加到 UDP 输入。	7.16.0 或更高版本 8.0.0 或更高版本
2.6.0	增强 (查看拉取请求) 允许配置内部/外部区域	7.16.0 或更高版本 8.0.0 或更高版本
2.5.1	增强 (查看拉取请求) 增强网络方向	7.16.0 或更高版本 8.0.0 或更高版本
2.5.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.5.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.4.6	错误修复 (查看拉取请求) 与 Cisco ASA 的管道保持一致。	7.16.0 或更高版本 8.0.0 或更高版本
2.4.5	错误修复 (查看拉取请求) 删除重复字段。	7.16.0 或更高版本 8.0.0 或更高版本
2.4.4	错误修复 (查看拉取请求) 删除重复字段。	7.16.0 或更高版本 8.0.0 或更高版本
2.4.3	错误修复 (查看拉取请求) 修复 302020 事件消息的处理。	7.16.0 或更高版本 8.0.0 或更高版本
2.4.2	增强 (查看拉取请求) 使用 ECS geo.location 定义。	—
2.4.1	错误修复 (查看拉取请求) 清理 grok 模式命名。	7.16.0 或更高版本 8.0.0 或更高版本
2.4.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.4.0	7.16.0 或更高版本 8.0.0 或更高版本
2.3.1	增强 (查看拉取请求) 改进 TCP、SSL 配置描述和示例。	7.16.0 或更高版本 8.0.0 或更高版本
2.3.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.3.0。	7.16.0 或更高版本 8.0.0 或更高版本
2.2.2	错误修复 (查看拉取请求) 根据 ECS 映射 syslog 优先级详细信息错误修复 (查看拉取请求) 从 syslog 优先级中提取 syslog 工具和严重性代码	7.16.0 或更高版本 8.0.0 或更高版本
2.2.1	错误修复 (查看拉取请求) 从 ECS 字段中删除无效值	7.16.0 或更高版本 8.0.0 或更高版本
2.2.0	增强 (查看拉取请求) 添加 TLS 系统测试增强 (查看拉取请求) 添加支持 TLS 的 TCP 输入	—
2.1.1	增强 (查看拉取请求) 在自述文件中添加了指向 Cisco FTD 文档的链接	7.16.0 或更高版本 8.0.0 或更高版本
2.1.0	增强 (查看拉取请求) 更新到 ECS 8.2	7.16.0 或更高版本 8.0.0 或更高版本
2.0.4	错误修复 (查看拉取请求) 仅当 sha_disposition 为恶意软件或自定义时，才将 event.kind 设置为警报	7.16.0 或更高版本 8.0.0 或更高版本
2.0.3	错误修复 (查看拉取请求) 使字段与 ECS 一致	7.16.0 或更高版本 8.0.0 或更高版本
2.0.2	错误修复 (查看拉取请求) 更新观察者为 ftd 和 idps，以更好地匹配此集成。	—
2.0.1	增强 (查看拉取请求) 添加多字段的文档	7.16.0 或更高版本 8.0.0 或更高版本
2.0.0	增强 (查看拉取请求) 更新到 ECS 8.0	7.16.0 或更高版本 8.0.0 或更高版本
1.2.2	错误修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	7.16.0 或更高版本 8.0.0 或更高版本
1.2.1	错误修复 (查看拉取请求) 将测试公共 IP 更改为支持的子集	—
1.2.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	7.16.0 或更高版本 8.0.0 或更高版本
1.1.2	增强 (查看拉取请求) 更新标题和描述。	7.16.0 或更高版本
1.1.1	Bug修复 (查看拉取请求) 修复检查forwarded标签的逻辑	—
1.1.0	增强 (查看拉取请求) 更新至 ECS 1.12.0	—
1.0.1	Bug修复 (查看拉取请求) 添加缺失的ECS字段	—
1.0.0	增强 (查看拉取请求) 从通用Cisco软件包中拆分Cisco FTD的初始版本	—

« Cisco Duo Cisco IOS 集成 »