Cisco ISE
编辑Cisco ISE
编辑Cisco ISE 集成使用 TCP/UDP 从 Cisco Identity Services Engine (ISE) 收集和解析数据。
兼容性
编辑此模块已针对 Cisco ISE 服务器版本 3.1.0.518 进行测试。
要求
编辑- 通过 TCP/UDP 输入启用集成。
- 登录到 Cisco ISE 门户。
-
配置远程 Syslog 收集位置。
-
步骤
- 在 Cisco ISE 管理员门户中,转到 管理 > 系统 > 日志记录 > 远程日志记录目标。
- 单击 添加。 image::images/cisco_ise/cisco-ise-setup.png[Cisco ISE 服务器设置图像]
- 输入所有必填详细信息。
- 将最大长度设置为 8192。
- 单击 提交。
- 转到远程日志记录目标页面并验证新目标的创建。
-
注意
编辑- 建议将 8192 作为最大消息长度。来自 Cisco ISE 的某些日志的分割可能会导致字段映射问题。
日志
编辑Cisco ISE Syslog 参考链接:此处
日志
编辑这是 log 数据集。
示例
log 的示例事件如下所示
{
"@timestamp": "2020-02-21T19:13:08.328Z",
"agent": {
"ephemeral_id": "1c70d737-7545-456d-8fb9-7033dca67ed3",
"id": "901f4c48-583a-4848-aa7b-89dc8e9c4b76",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.2"
},
"cisco_ise": {
"log": {
"acct": {
"request": {
"flags": "Stop"
}
},
"acs": {
"session": {
"id": "ldnnacpsn1/359344348/952729"
}
},
"authen_method": "TacacsPlus",
"avpair": {
"priv_lvl": 15,
"start_time": "2020-03-26T01:17:12.000Z",
"task_id": "2962",
"timezone": "GMT"
},
"category": {
"name": "CISE_TACACS_Accounting"
},
"cmdset": "[ CmdAV=show mac-address-table <cr> ]",
"config_version": {
"id": 1829
},
"cpm": {
"session": {
"id": "81.2.69.144Accounting306034364"
}
},
"device": {
"type": [
"Device Type#All Device Types#Routers",
"Device Type#All Device Types#Routers"
]
},
"ipsec": [
"IPSEC#Is IPSEC Device",
"IPSEC#Is IPSEC Device"
],
"location": [
"Location#All Locations#EMEA",
"Location#All Locations#EMEA"
],
"message": {
"code": "3300",
"description": "Tacacs-Accounting: TACACS+ Accounting with Command",
"id": "0000000001"
},
"model": {
"name": "Unknown"
},
"network": {
"device": {
"groups": [
"Location#All Locations#EMEA",
"Device Type#All Device Types#Routers",
"IPSEC#Is IPSEC Device"
],
"name": "wlnwan1",
"profile": [
"Cisco",
"Cisco"
]
}
},
"port": "tty10",
"privilege": {
"level": 15
},
"request": {
"latency": 1
},
"response": {
"AcctReply-Status": "Success"
},
"segment": {
"number": 0,
"total": 4
},
"selected": {
"access": {
"service": "Device Admin - TACACS"
}
},
"service": {
"argument": "shell",
"name": "Login"
},
"software": {
"version": "Unknown"
},
"step": [
"13006",
"15049",
"15008",
"15048",
"13035"
],
"type": "Accounting"
}
},
"client": {
"ip": "81.2.69.144"
},
"data_stream": {
"dataset": "cisco_ise.log",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": "81.2.69.144"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "901f4c48-583a-4848-aa7b-89dc8e9c4b76",
"snapshot": false,
"version": "8.10.2"
},
"event": {
"action": "tacacs-accounting",
"agent_id_status": "verified",
"category": [
"configuration"
],
"dataset": "cisco_ise.log",
"ingested": "2023-10-03T09:31:56Z",
"kind": "event",
"original": "<182>Feb 21 19:13:08 cisco-ise-host CISE_TACACS_Accounting 0000000001 4 0 2020-02-21 19:13:08.328 +00:00 0018415781 3300 NOTICE Tacacs-Accounting: TACACS+ Accounting with Command, ConfigVersionId=1829, Device IP Address=81.2.69.144, CmdSet=[ CmdAV=show mac-address-table <cr> ], RequestLatency=1, NetworkDeviceName=wlnwan1, Type=Accounting, Privilege-Level=15, Service=Login, User=psxvne, Port=tty10, Remote-Address=81.2.69.144, Authen-Method=TacacsPlus, AVPair=task_id=2962, AVPair=timezone=GMT, AVPair=start_time=1585185432, AVPair=priv-lvl=15, AcctRequest-Flags=Stop, Service-Argument=shell, AcsSessionID=ldnnacpsn1/359344348/952729, SelectedAccessService=Device Admin - TACACS, Step=13006, Step=15049, Step=15008, Step=15048, Step=13035, NetworkDeviceGroups=Location#All Locations#EMEA, NetworkDeviceGroups=Device Type#All Device Types#Routers, NetworkDeviceGroups=IPSEC#Is IPSEC Device, CPMSessionID=81.2.69.144Accounting306034364, Model Name=Unknown, Software Version=Unknown, Network Device Profile=Cisco, Location=Location#All Locations#EMEA, Device Type=Device Type#All Device Types#Routers, IPSEC=IPSEC#Is IPSEC Device, Response={AcctReply-Status=Success; }, Network Device Profile=Cisco, Location=Location#All Locations#EMEA, Device Type=Device Type#All Device Types#Routers, IPSEC=IPSEC#Is IPSEC Device, Response={AcctReply-Status=Success; }",
"sequence": 18415781,
"timezone": "+00:00",
"type": [
"info"
]
},
"host": {
"hostname": "cisco-ise-host"
},
"input": {
"type": "filestream"
},
"log": {
"file": {
"device_id": 2080,
"inode": 88860,
"path": "/tmp/service_logs/log.log"
},
"level": "notice",
"offset": 71596,
"syslog": {
"priority": 182,
"severity": {
"name": "notice"
}
}
},
"message": "2020-02-21 19:13:08.328 +00:00 0018415781 3300 NOTICE Tacacs-Accounting: TACACS+ Accounting with Command, ConfigVersionId=1829, Device IP Address=81.2.69.144, CmdSet=[ CmdAV=show mac-address-table <cr> ], RequestLatency=1, NetworkDeviceName=wlnwan1, Type=Accounting, Privilege-Level=15, Service=Login, User=psxvne, Port=tty10, Remote-Address=81.2.69.144, Authen-Method=TacacsPlus, AVPair=task_id=2962, AVPair=timezone=GMT, AVPair=start_time=1585185432, AVPair=priv-lvl=15, AcctRequest-Flags=Stop, Service-Argument=shell, AcsSessionID=ldnnacpsn1/359344348/952729, SelectedAccessService=Device Admin - TACACS, Step=13006, Step=15049, Step=15008, Step=15048, Step=13035, NetworkDeviceGroups=Location#All Locations#EMEA, NetworkDeviceGroups=Device Type#All Device Types#Routers, NetworkDeviceGroups=IPSEC#Is IPSEC Device, CPMSessionID=81.2.69.144Accounting306034364, Model Name=Unknown, Software Version=Unknown, Network Device Profile=Cisco, Location=Location#All Locations#EMEA, Device Type=Device Type#All Device Types#Routers, IPSEC=IPSEC#Is IPSEC Device, Response={AcctReply-Status=Success; }, Network Device Profile=Cisco, Location=Location#All Locations#EMEA, Device Type=Device Type#All Device Types#Routers, IPSEC=IPSEC#Is IPSEC Device, Response={AcctReply-Status=Success; }",
"related": {
"hosts": [
"cisco-ise-host"
],
"ip": [
"81.2.69.144"
],
"user": [
"psxvne"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"cisco_ise-log"
],
"user": {
"name": "psxvne"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cisco_ise.log.acct.authentic |
关键字 |
|
cisco_ise.log.acct.delay_time |
长整型 |
|
cisco_ise.log.acct.input.octets |
长整型 |
|
cisco_ise.log.acct.input.packets |
长整型 |
|
cisco_ise.log.acct.output.octets |
长整型 |
|
cisco_ise.log.acct.output.packets |
长整型 |
|
cisco_ise.log.acct.request.flags |
关键字 |
|
cisco_ise.log.acct.session.id |
关键字 |
|
cisco_ise.log.acct.session.time |
长整型 |
|
cisco_ise.log.acct.status.type |
关键字 |
|
cisco_ise.log.acct.terminate_cause |
关键字 |
|
cisco_ise.log.acme-av-pair.audit-session-id |
关键字 |
|
cisco_ise.log.acme-av-pair.service-type |
关键字 |
|
cisco_ise.log.acs.instance |
关键字 |
|
cisco_ise.log.acs.session.id |
关键字 |
|
cisco_ise.log.active_session.count |
长整型 |
|
cisco_ise.log.ad.admin |
关键字 |
|
cisco_ise.log.ad.domain.controller |
关键字 |
|
cisco_ise.log.ad.domain.name |
关键字 |
|
cisco_ise.log.ad.error.details |
关键字 |
|
cisco_ise.log.ad.forest |
关键字 |
|
cisco_ise.log.ad.hostname |
关键字 |
|
cisco_ise.log.ad.ip |
IP |
|
cisco_ise.log.ad.log |
关键字 |
|
cisco_ise.log.ad.log_id |
关键字 |
|
cisco_ise.log.ad.organization_unit |
文本 |
|
cisco_ise.log.ad.site |
关键字 |
|
cisco_ise.log.ad.srv.query |
关键字 |
|
cisco_ise.log.ad.srv.record |
关键字 |
|
cisco_ise.log.adapter_instance.name |
关键字 |
|
cisco_ise.log.adapter_instance.uuid |
关键字 |
|
cisco_ise.log.admin.interface |
关键字 |
|
cisco_ise.log.admin.session |
关键字 |
|
cisco_ise.log.airespace.wlan.id |
长整型 |
|
cisco_ise.log.allow.easy.wired.session |
关键字 |
|
cisco_ise.log.allowed_protocol.matched.rule |
关键字 |
|
cisco_ise.log.assigned_targets |
关键字 |
|
cisco_ise.log.auth.policy.matched.rule |
关键字 |
|
cisco_ise.log.authen_method |
关键字 |
|
cisco_ise.log.authentication.identity_store |
关键字 |
|
cisco_ise.log.authentication.method |
关键字 |
|
cisco_ise.log.authentication.status |
关键字 |
|
cisco_ise.log.average.radius.request.latency |
长整型 |
|
cisco_ise.log.average.tacacs.request.latency |
长整型 |
|
cisco_ise.log.avpair.disc.cause |
长整型 |
|
cisco_ise.log.avpair.disc.cause_ext |
长整型 |
|
cisco_ise.log.avpair.elapsed_time |
长整型 |
|
cisco_ise.log.avpair.pre_session_time |
长整型 |
|
cisco_ise.log.avpair.priv_lvl |
长整型 |
|
cisco_ise.log.avpair.start_time |
日期 |
|
cisco_ise.log.avpair.stop_time |
日期 |
|
cisco_ise.log.avpair.task_id |
关键字 |
|
cisco_ise.log.avpair.timezone |
关键字 |
|
cisco_ise.log.called_station.id |
关键字 |
|
cisco_ise.log.calling_station.id |
关键字 |
|
cisco_ise.log.calling_station_id |
关键字 |
|
cisco_ise.log.category.name |
关键字 |
|
cisco_ise.log.cause |
关键字 |
|
cisco_ise.log.cisco_av_pair.coa-push |
布尔型 |
|
cisco_ise.log.cisco_av_pair.cts-device-capability |
关键字 |
|
cisco_ise.log.cisco_av_pair.cts-environment-data |
关键字 |
|
cisco_ise.log.cisco_av_pair.cts-environment-version |
关键字 |
|
cisco_ise.log.cisco_av_pair.cts-pac-opaque |
关键字 |
|
cisco_ise.log.class |
关键字 |
|
cisco_ise.log.client.latency |
长整型 |
|
cisco_ise.log.cmdset |
关键字 |
|
cisco_ise.log.component |
关键字 |
|
cisco_ise.log.config_change.data |
关键字 |
|
cisco_ise.log.config_version.id |
长整型 |
|
cisco_ise.log.connectivity |
关键字 |
|
cisco_ise.log.cpm.session.id |
关键字 |
|
cisco_ise.log.currentid.store_name |
关键字 |
|
cisco_ise.log.delta.radius.request.count |
长整型 |
|
cisco_ise.log.delta.tacacs.request.count |
长整型 |
|
cisco_ise.log.detailed_info |
文本 |
|
cisco_ise.log.details |
关键字 |
|
cisco_ise.log.device.name |
关键字 |
|
cisco_ise.log.device.registration_status |
关键字 |
|
cisco_ise.log.device.type |
关键字 |
|
cisco_ise.log.dtls_support |
关键字 |
|
cisco_ise.log.eap.authentication |
关键字 |
|
cisco_ise.log.eap.chaining_result |
关键字 |
|
cisco_ise.log.eap.tunnel |
关键字 |
|
cisco_ise.log.eap_key.name |
关键字 |
|
cisco_ise.log.enable.flag |
关键字 |
|
cisco_ise.log.endpoint.coa |
关键字 |
|
cisco_ise.log.endpoint.mac.address |
关键字 |
|
cisco_ise.log.endpoint.policy |
关键字 |
|
cisco_ise.log.endpoint.profiler |
关键字 |
|
cisco_ise.log.endpoint.purge.id |
关键字 |
|
cisco_ise.log.endpoint.purge.rule |
关键字 |
|
cisco_ise.log.endpoint.purge.scheduletype |
关键字 |
|
cisco_ise.log.ep.identity_group |
关键字 |
|
cisco_ise.log.ep.mac.address |
关键字 |
|
cisco_ise.log.error.message |
关键字 |
|
cisco_ise.log.error_message |
关键字 |
|
cisco_ise.log.event.timestamp |
日期 |
|
cisco_ise.log.failure.flag |
布尔型 |
|
cisco_ise.log.failure.reason |
关键字 |
|
cisco_ise.log.failure_reason |
关键字 |
|
cisco_ise.log.feed_service.feed.name |
关键字 |
|
cisco_ise.log.feed_service.feed.version |
关键字 |
|
cisco_ise.log.feed_service.host |
关键字 |
|
cisco_ise.log.feed_service.port |
关键字 |
|
cisco_ise.log.feed_service.query.from_time |
日期 |
|
cisco_ise.log.feed_service.query.to_time |
日期 |
|
cisco_ise.log.file.name |
关键字 |
|
cisco_ise.log.first_name |
关键字 |
|
cisco_ise.log.framed.ip |
IP |
|
cisco_ise.log.framed.mtu |
长整型 |
|
cisco_ise.log.groups.process_failure |
布尔型 |
|
cisco_ise.log.guest.user.name |
关键字 |
|
cisco_ise.log.identity.group |
关键字 |
|
cisco_ise.log.identity.policy.matched.rule |
关键字 |
|
cisco_ise.log.identity.selection.matched.rule |
关键字 |
|
cisco_ise.log.ipsec |
关键字 |
|
cisco_ise.log.is_third_party_device_flow |
布尔型 |
|
cisco_ise.log.ise.policy.set_name |
关键字 |
|
cisco_ise.log.last_name |
关键字 |
|
cisco_ise.log.local_logging |
关键字 |
|
cisco_ise.log.location |
关键字 |
|
cisco_ise.log.log_details |
扁平化 |
|
cisco_ise.log.log_error.message |
关键字 |
|
cisco_ise.log.log_severity_level |
关键字 |
|
cisco_ise.log.logger.name |
关键字 |
|
cisco_ise.log.message.code |
关键字 |
|
cisco_ise.log.message.description |
文本 |
|
cisco_ise.log.message.id |
关键字 |
|
cisco_ise.log.message.text |
关键字 |
|
cisco_ise.log.misconfigured.client.fix.reason |
关键字 |
|
cisco_ise.log.model.name |
关键字 |
|
cisco_ise.log.nas.identifier |
关键字 |
|
cisco_ise.log.nas.ip |
IP |
|
cisco_ise.log.nas.port.id |
关键字 |
|
cisco_ise.log.nas.port.number |
长整型 |
|
cisco_ise.log.nas.port.type |
关键字 |
|
cisco_ise.log.nas_identifier |
关键字 |
|
cisco_ise.log.nas_ip_address |
关键字 |
|
cisco_ise.log.network.device.groups |
关键字 |
|
cisco_ise.log.network.device.name |
关键字 |
|
cisco_ise.log.network.device.profile |
关键字 |
|
cisco_ise.log.network.device.profile_id |
关键字 |
|
cisco_ise.log.network.device.profile_name |
关键字 |
|
cisco_ise.log.network_device_ip |
IP |
|
cisco_ise.log.network_device_name |
关键字 |
|
cisco_ise.log.object.internal.id |
关键字 |
|
cisco_ise.log.object.name |
关键字 |
|
cisco_ise.log.object.type |
关键字 |
|
cisco_ise.log.objects.purged |
关键字 |
|
cisco_ise.log.openssl.error.message |
关键字 |
|
cisco_ise.log.openssl.error.stack |
关键字 |
|
cisco_ise.log.operation.id |
关键字 |
|
cisco_ise.log.operation.status |
关键字 |
|
cisco_ise.log.operation.type |
关键字 |
|
cisco_ise.log.operation_counters.counters |
扁平化 |
|
cisco_ise.log.operation_counters.original |
文本 |
|
cisco_ise.log.operation_message.text |
关键字 |
|
cisco_ise.log.original.user.name |
关键字 |
|
cisco_ise.log.policy.type |
关键字 |
|
cisco_ise.log.port |
关键字 |
|
cisco_ise.log.portal.name |
关键字 |
|
cisco_ise.log.posture.assessment.status |
关键字 |
|
cisco_ise.log.privilege.level |
长整型 |
|
cisco_ise.log.probe |
关键字 |
|
cisco_ise.log.profiler.server |
关键字 |
|
cisco_ise.log.protocol |
关键字 |
|
cisco_ise.log.psn.hostname |
关键字 |
|
cisco_ise.log.radius.flow.type |
关键字 |
|
cisco_ise.log.radius.packet.type |
关键字 |
|
cisco_ise.log.radius_identifier |
长整型 |
|
cisco_ise.log.radius_packet.type |
关键字 |
|
cisco_ise.log.request.latency |
长整型 |
|
cisco_ise.log.request.received_time |
日期 |
|
cisco_ise.log.request_response.type |
关键字 |
|
cisco_ise.log.response |
扁平化 |
|
cisco_ise.log.segment.number |
长整型 |
|
cisco_ise.log.segment.total |
长整型 |
|
cisco_ise.log.selected.access.service |
关键字 |
|
cisco_ise.log.selected.authentication.identity_stores |
关键字 |
|
cisco_ise.log.selected.authorization.profiles |
关键字 |
|
cisco_ise.log.sequence.number |
长整型 |
|
cisco_ise.log.server.name |
关键字 |
|
cisco_ise.log.server.type |
关键字 |
|
cisco_ise.log.service.argument |
关键字 |
|
cisco_ise.log.service.name |
关键字 |
|
cisco_ise.log.service.type |
关键字 |
|
cisco_ise.log.session.timeout |
长整型 |
|
cisco_ise.log.severity.level |
长整型 |
|
cisco_ise.log.software.version |
关键字 |
|
cisco_ise.log.state |
文本 |
|
cisco_ise.log.static.assignment |
布尔型 |
|
cisco_ise.log.status |
关键字 |
|
cisco_ise.log.step |
关键字 |
|
cisco_ise.log.step_data |
关键字 |
|
cisco_ise.log.step_latency |
关键字 |
|
cisco_ise.log.sysstats.acs.process.health |
扁平化 |
|
cisco_ise.log.sysstats.cpu.count |
长整型 |
|
cisco_ise.log.sysstats.process_memory_mb |
长整型 |
|
cisco_ise.log.sysstats.utilization.cpu |
双精度浮点数 |
|
cisco_ise.log.sysstats.utilization.disk.io |
双精度浮点数 |
|
cisco_ise.log.sysstats.utilization.disk.space |
关键字 |
|
cisco_ise.log.sysstats.utilization.load_avg |
双精度浮点数 |
|
cisco_ise.log.sysstats.utilization.memory |
双精度浮点数 |
|
cisco_ise.log.sysstats.utilization.network |
关键字 |
|
cisco_ise.log.tls.cipher |
关键字 |
|
cisco_ise.log.tls.version |
关键字 |
|
cisco_ise.log.total.authen.latency |
长整型 |
|
cisco_ise.log.total.failed_attempts |
长整型 |
|
cisco_ise.log.total.failed_time |
长整型 |
|
cisco_ise.log.tunnel.medium.type |
关键字 |
|
cisco_ise.log.tunnel.private.group_id |
关键字 |
|
cisco_ise.log.tunnel.type |
关键字 |
|
cisco_ise.log.type |
关键字 |
|
cisco_ise.log.undefined_52 |
关键字 |
|
cisco_ise.log.usecase |
关键字 |
|
cisco_ise.log.user.type |
关键字 |
|
cisco_ise.log.workflow |
扁平化 |
|
client.geo.city_name |
城市名称。 |
关键字 |
client.geo.continent_code |
表示大陆名称的两个字母代码。 |
关键字 |
client.geo.continent_name |
大陆的名称。 |
关键字 |
client.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
client.geo.country_name |
国家/地区名称。 |
关键字 |
client.geo.location |
经度和纬度。 |
地理点 |
client.geo.name |
用户定义的位置描述,粒度级别是他们关心的级别。可以是他们的数据中心名称、楼层号(如果这描述了一个本地物理实体)以及城市名称。通常不用于自动地理定位。 |
关键字 |
client.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。 |
关键字 |
client.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
client.geo.region_name |
地区名称。 |
关键字 |
client.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
client.ip |
客户端的 IP 地址 (IPv4 或 IPv6)。 |
IP |
client.mac |
客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
client.port |
客户端的端口。 |
长整型 |
client.user.name |
用户的短名称或登录名。 |
关键字 |
client.user.name.text |
|
仅匹配文本 |
cloud.account.id |
用于标识多租户环境中不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机正在运行的可用区。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机正在运行的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所用的镜像的名称。 |
关键字 |
container.labels |
镜像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
destination.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
仅匹配文本 |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自增强。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.continent_code |
表示大陆名称的两个字母代码。 |
关键字 |
destination.geo.continent_name |
大陆的名称。 |
关键字 |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
地理点 |
destination.geo.name |
用户定义的位置描述,粒度级别是他们关心的级别。可以是他们的数据中心名称、楼层号(如果这描述了一个本地物理实体)以及城市名称。通常不用于自动地理定位。 |
关键字 |
destination.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。 |
关键字 |
destination.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
destination.geo.region_name |
地区名称。 |
关键字 |
destination.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
destination.ip |
目标的 IP 地址 (IPv4 或 IPv6)。 |
IP |
destination.nat.ip |
基于 NAT 会话(例如,从互联网到私有 DMZ)转换的目标 IP。通常与负载均衡器、防火墙或路由器一起使用。 |
IP |
destination.nat.port |
NAT 设备将源会话转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.packets |
从目标发送到源的数据包数。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.user.name |
用户的短名称或登录名。 |
关键字 |
destination.user.name.text |
|
仅匹配文本 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。 |
关键字 |
event.code |
此事件的标识代码(如果存在)。一些事件源使用事件代码来明确标识消息,而无需考虑消息语言或随着时间推移进行的措辞调整。Windows 事件 ID 就是一个示例。 |
关键字 |
event.created |
|
日期 |
event.dataset |
事件数据集。 |
常量关键字 |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。 |
关键字 |
event.module |
事件模块。 |
常量关键字 |
event.original |
整个事件的原始文本消息。用于演示日志完整性或可能需要完整日志消息(在将其拆分为多个部分之前)的地方,例如,用于重新索引。此字段未建立索引,并且 doc_values 已禁用。它无法搜索,但可以从 |
关键字 |
event.sequence |
事件的序列号。序列号是某些事件源发布的值,以使事件的精确排序明确,而无需考虑时间戳精度。 |
长整型 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
如果主机是容器。 |
布尔型 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
关键字 |
host.geo.city_name |
城市名称。 |
关键字 |
host.geo.continent_code |
表示大陆名称的两个字母代码。 |
关键字 |
host.geo.continent_name |
大陆的名称。 |
关键字 |
host.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
host.geo.country_name |
国家/地区名称。 |
关键字 |
host.geo.location |
经度和纬度。 |
地理点 |
host.geo.name |
用户定义的位置描述,粒度级别是他们关心的级别。可以是他们的数据中心名称、楼层号(如果这描述了一个本地物理实体)以及城市名称。通常不用于自动地理定位。 |
关键字 |
host.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。 |
关键字 |
host.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
host.geo.region_name |
地区名称。 |
关键字 |
host.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
host.hostname |
主机的计算机名称。它通常包含主机上 |
关键字 |
host.id |
唯一主机 ID。由于主机名并非始终是唯一的,因此请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
IP |
host.mac |
主机 MAC 地址。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 |
关键字 |
host.os.build |
操作系统内部版本信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
作为原始字符串的操作系统内核版本。 |
关键字 |
host.os.name |
操作系统名称,不含版本。 |
关键字 |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
作为原始字符串的操作系统版本。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是 |
关键字 |
input.type |
输入类型 |
关键字 |
log.file.device_id |
包含文件所在文件系统的设备的 ID。 |
关键字 |
log.file.fingerprint |
启用指纹识别时,文件的 sha256 指纹标识。 |
关键字 |
log.file.idxhi |
与文件关联的唯一标识符的高位部分。(仅限 Windows) |
关键字 |
log.file.idxlo |
与文件关联的唯一标识符的低位部分。(仅限 Windows) |
关键字 |
log.file.inode |
日志文件的 inode 编号。 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
关键字 |
log.file.vol |
包含文件的卷的序列号。(仅限 Windows) |
关键字 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别或严重性将进入 |
关键字 |
log.logger |
应用程序内的记录器名称。这通常是初始化记录器的类的名称,也可以是自定义名称。 |
关键字 |
log.offset |
日志偏移 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * facility + severity。因此,此数字应该包含 0 到 191 之间的值。 |
长整型 |
log.syslog.severity.name |
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供不同的严重性值(例如,防火墙、IDS),则您的源的文本严重性应进入 |
关键字 |
message |
对于日志事件,message 字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,以形成事件的人类可读摘要。如果存在多条消息,则可以将它们合并为一条消息。 |
仅匹配文本 |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
关键字 |
related.hosts |
您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
您的事件中看到的所有 IP。 |
IP |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
关键字 |
server.address |
某些事件服务器地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
server.mac |
服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即,8 位字节)由两个[大写]十六进制数字表示,给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
service.type |
从中收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
仅匹配文本 |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自增强。 |
关键字 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.continent_code |
表示大陆名称的两个字母代码。 |
关键字 |
source.geo.continent_name |
大陆的名称。 |
关键字 |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
地理点 |
source.geo.name |
用户定义的位置描述,粒度级别是他们关心的级别。可以是他们的数据中心名称、楼层号(如果这描述了一个本地物理实体)以及城市名称。通常不用于自动地理定位。 |
关键字 |
source.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或 ZIP 代码,并且因国家/地区而异。 |
关键字 |
source.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
source.geo.region_name |
地区名称。 |
关键字 |
source.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
source.ip |
源 IP 地址(IPv4 或 IPv6)。 |
IP |
source.nat.ip |
基于源 NAT 会话转换后的源 IP 地址(例如,内部客户端到互联网)。通常是经过负载均衡器、防火墙或路由器的连接。 |
IP |
source.nat.port |
基于源 NAT 会话转换后的端口。(例如,内部客户端到互联网)。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.packets |
从源发送到目标的包。 |
长整型 |
source.port |
源端口。 |
长整型 |
source.user.group.name |
组的名称。 |
关键字 |
source.user.name |
用户的短名称或登录名。 |
关键字 |
source.user.name.text |
|
仅匹配文本 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
user.full_name |
用户的全名(如果可用)。 |
关键字 |
user.full_name.text |
|
仅匹配文本 |
user.name |
用户的短名称或登录名。 |
关键字 |
user.name.text |
|
仅匹配文本 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.24.2 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.24.1 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.23.2 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.23.1 |
错误修复 (查看拉取请求) |
8.11.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.22.4 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.22.3 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.22.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.22.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.4 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.3 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.6.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.2 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |