Cisco IOS 集成
编辑Cisco IOS 集成
编辑此集成用于 Cisco IOS 网络设备的日志。它包括以下数据集,用于通过 syslog 接收日志或从文件中读取日志
日志配置
编辑Cisco 设备可以通过多种方式配置,以包含或排除字段。Cisco IOS 集成期望存在主机名和时间戳。如果配置了 sequence-number 存在,则它将用于填充 event.sequence。如果不存在,但配置了 message-count 存在,则将使用该字段代替。
默认情况下,Cisco IOS 日志记录未启用时间戳和时区,要启用它们,请使用 service timestamps log datetime。有关更多信息,请参阅时间戳文档
添加到 Cisco IOS 日志中的时区格式并不总是与通用编程语言中使用的预期格式匹配,因此在集成配置中添加了 2 个选项
-
时区- 此选项允许用户指定日志将转换为的时区。这将强制所有发送到集成的日志都使用相同的时区。建议大多数用户使用此选项,默认值为UTC。 -
时区映射- 此选项适用于具有来自多个时区的日志并希望将其转换为正确时区的用户。此选项允许用户指定从哪个时区转换为哪个时区的映射。建议高级用户使用此选项,这些用户有来自多个时区的日志被发送到同一个集成实例。如果 Cisco IOS 日志条目中的时区与任何配置的映射都不匹配,则该日志将回退到时区选项中指定的时区,并且默认值也为UTC。
如果日志消息被中继,导致额外的 syslog 标头前缀或其他文本,则必须删除此文本才能成功摄取。这可以通过向配置中添加适当的 Beats 处理器来完成。
IOS
编辑log 数据集收集 Cisco IOS 路由器和交换机日志。
示例
log 的示例事件如下
{
"@timestamp": "2022-01-06T20:52:12.861Z",
"agent": {
"ephemeral_id": "960a0fda-a7b7-4362-9018-34b1d0d119c4",
"id": "f00ff835-626e-4a18-a8a2-0bb3ebb7503f",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.0.0"
},
"cisco": {
"ios": {
"facility": "SYS",
"message_count": 2360957
}
},
"data_stream": {
"dataset": "cisco_ios.log",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f00ff835-626e-4a18-a8a2-0bb3ebb7503f",
"snapshot": false,
"version": "8.0.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"code": "CONFIG_I",
"dataset": "cisco_ios.log",
"ingested": "2023-07-13T09:20:48Z",
"original": "<189>2360957: Jan 6 2022 20:52:12.861: %SYS-5-CONFIG_I: Configured from console by akroh on vty0 (10.100.11.10)",
"provider": "firewall",
"sequence": 2360957,
"severity": 5,
"timezone": "+00:00",
"type": [
"info"
]
},
"input": {
"type": "tcp"
},
"log": {
"level": "notification",
"source": {
"address": "172.25.0.4:46792"
},
"syslog": {
"priority": 189
}
},
"message": "Configured from console by akroh on vty0 (10.100.11.10)",
"observer": {
"product": "IOS",
"type": "firewall",
"vendor": "Cisco"
},
"tags": [
"preserve_original_event",
"cisco-ios",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次收到事件的时间填充。所有事件的必填字段。 |
date |
cisco.ios.access_list |
IP 访问列表的名称。 |
keyword |
cisco.ios.action |
设备采取的操作 |
keyword |
cisco.ios.facility |
消息引用的工具(例如,SNMP、SYS 等)。工具可以是硬件设备、协议或系统软件模块。它表示系统消息的来源或原因。 |
keyword |
cisco.ios.interface.name |
网络接口的名称。 |
keyword |
cisco.ios.message_count |
当设备的 service message-counter 全局配置设置时,设备提供的消息计数。 |
long |
cisco.ios.outcome |
事件的结果 |
keyword |
cisco.ios.pim.group.ip |
多播组 IP |
ip |
cisco.ios.pim.source.ip |
多播源 IP |
ip |
cisco.ios.sequence |
当设备的 service sequence-numbers 全局配置设置时,设备提供的序列号。 |
keyword |
cisco.ios.session.number |
会话 ID |
integer |
cisco.ios.session.type |
会话类型 |
keyword |
cisco.ios.tableid |
与 badauth 错误关联的 tableid |
keyword |
cisco.ios.uptime |
设备的正常运行时间。 |
keyword |
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机运行所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
Google Cloud 中项目的名称。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机运行所在的区域。 |
keyword |
container.id |
唯一容器 ID。 |
keyword |
container.image.name |
构建容器的镜像的名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
大陆名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elastic.agent.id |
keyword |
|
elastic.agent.snapshot |
boolean |
|
elastic.agent.version |
keyword |
|
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。 |
keyword |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而不管消息语言或随着时间的推移的措辞调整。一个示例是 Windows 事件 ID。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果 |
long |
event.end |
|
date |
event.ingested |
事件到达中心数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者在可能需要完整日志消息(将其拆分为多个部分之前)的情况下,例如用于重新索引。此字段未编制索引,且禁用了 doc_values。它无法搜索,但可以从 |
keyword |
event.provider |
事件的来源。事件传输(例如 Syslog 或 Windows 事件日志)通常会提及事件的来源。它可以是生成事件的软件的名称(例如 Sysmon、httpd),也可以是操作系统的子系统(内核、Microsoft-Windows-Security-Auditing)。 |
keyword |
event.severity |
根据事件源,事件的数字严重性。不同严重性值的含义可能因来源和用例而异。实施者有责任确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 |
long |
event.start |
|
date |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
主机是否为容器。 |
boolean |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的 hostname。它通常包含主机上 |
keyword |
host.id |
唯一的主机 ID。由于 hostname 并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本,以原始字符串形式表示。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本,以原始字符串形式表示。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
hostname |
来自 Syslog 标头的 hostname。 |
keyword |
icmp.code |
ICMP 代码。 |
keyword |
icmp.type |
ICMP 类型。 |
keyword |
igmp.type |
IGMP 类型。 |
keyword |
input.type |
keyword |
|
labels |
自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例: |
object |
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,则不要填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性,则这是放入 |
keyword |
log.offset |
long |
|
log.source.address |
keyword |
|
log.syslog.hostname |
最初发送 Syslog 消息的机器的主机名、FQDN 或 IP。此值来自 syslog 标头的 hostname 字段。根据环境,此值可能与处理事件的主机不同,尤其是当处理事件的主机充当收集器时。 |
keyword |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * facility + severity。因此,此数字应包含 0 到 191 之间的值。 |
long |
message |
对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,则可以将它们合并为一条消息。 |
match_only_text |
network.bytes |
双向传输的总字节数。如果知道 |
long |
network.community_id |
源 IP 和目标 IP 和端口的哈希,以及通信中使用的协议。这是用于识别流的与工具无关的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.iana_number |
IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。 |
keyword |
network.packets |
双向传输的总数据包数。如果知道 |
long |
network.transport |
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。字段值必须规范化为小写才能进行查询。 |
keyword |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须规范化为小写才能进行查询。 |
keyword |
observer.product |
观察者的产品名称。 |
keyword |
observer.type |
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例是 |
keyword |
observer.vendor |
观察者的供应商名称。 |
keyword |
process.program |
来自 Syslog 标头的进程。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
大陆名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.packets |
从源发送到目标的数据包。 |
long |
source.port |
源的端口。 |
long |
source.user.name |
用户的简称或登录名。 |
keyword |
source.user.name.text |
|
match_only_text |
tags |
用于标记每个事件的关键字列表。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.28.1 |
Bug 修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.28.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.27.2 |
Bug 修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.27.1 |
Bug 修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.27.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.26.11 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.10 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.9 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.8 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.7 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.6 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.5 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.4 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.3 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.25.1 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.24.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.24.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.23.1 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.16.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.16.1 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.9.3 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.9.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.9.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.7.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.7.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.1 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
— |
1.3.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.2 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.1 |
缺陷修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.1 |
缺陷修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
— |