› ›

Cisco Meraki 集成

版本	1.26.0 (查看全部)
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基础
支持级别这是什么？	Elastic

Cisco Meraki 为所有 Meraki 设备（例如 MX 安全设备、MR 接入点等）提供集中式云管理平台。其带外云架构创建安全、可扩展且易于部署的网络，可以从任何地方进行管理。这几乎可以使用任何设备通过基于 Web 的 Meraki 仪表板和 Meraki 移动应用程序完成。每个 Meraki 网络都会生成自己的事件。

Cisco Meraki 提供多种设备报告方法。此集成支持通过 Cisco Meraki 系统日志和通过 API 报告 Webhook 收集事件。集成包允许您通过 Elasticsearch 搜索、观察和可视化事件。

兼容性

编辑

可以配置系统日志服务器来存储来自 MX 安全设备、MR 接入点和 MS 交换机的消息以进行报告。此包从配置的系统日志服务器收集事件。该集成支持从“MX 安全设备”和“MR 接入点”收集事件。“MS 交换机”事件无法识别。

配置

编辑

在 Elastic 中启用集成

编辑

在 Kibana 中，转到管理 > 集成
在“搜索集成”搜索栏中，键入Meraki
从搜索结果中单击“Cisco Meraki”集成。
单击添加 Cisco Meraki 集成按钮以添加集成。

Cisco Meraki 仪表板配置

编辑

系统日志

编辑

Cisco Meraki 仪表板可用于配置一个或多个系统日志服务器，以及要发送到系统日志服务器的 Meraki 消息类型。有关如何在 Cisco Meraki 上配置系统日志服务器的更多信息，请参阅系统日志服务器概述和配置页面。

API 端点（Webhook）

编辑

Cisco Meraki 仪表板可用于配置 Meraki Webhook。请参阅Webhook 仪表板设置部分。

配置 Cisco Meraki 集成

编辑

系统日志

编辑

根据您环境中系统日志服务器的设置，选中以下一个或多个选项：“通过 UDP 从 Cisco Meraki 收集系统日志”、“通过 TCP 从 Cisco Meraki 收集系统日志”、“通过文件从 Cisco Meraki 收集系统日志”。

根据选择的配置选项，输入系统日志主机和端口或文件路径的值。

API 端点（Webhook）

编辑

选中“通过 Webhook 从 Cisco Meraki 收集事件”选项。

输入“侦听地址”、“侦听端口”和“Webhook 路径”的值以形成端点 URL。请记下端点 URL https://{AGENT_ADDRESS}:8686/meraki/events。
输入“密钥值”。此值必须与从 Meraki 云配置 Webhook 时输入的“共享密钥”值匹配。
输入“TLS”的值。Cisco Meraki 要求 Webhook 接受通过 HTTPS 的请求。因此，您必须使用有效的 TLS 证书配置集成，或者在集成前面使用反向代理。

日志事件

编辑

启用此项可收集为所选日志流配置的所有应用程序的 Cisco Meraki 日志事件。

日志

编辑

系统日志

编辑

cisco_meraki.log 数据集提供来自配置的系统日志服务器的事件。所有 Cisco Meraki 系统日志特定字段都可在 cisco_meraki.log 字段组中找到。

导出的字段

字段	描述	类型
@timestamp	事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收事件的时间填充。所有事件的必填字段。	日期
cisco_meraki.8021x_auth		扁平化
cisco_meraki.8021x_deauth		扁平化
cisco_meraki.8021x_eap_failure		扁平化
cisco_meraki.8021x_eap_success		扁平化
cisco_meraki.anyconnect_vpn_session_manager.action		关键字
cisco_meraki.anyconnect_vpn_session_manager.bytes_in		关键字
cisco_meraki.anyconnect_vpn_session_manager.bytes_out		关键字
cisco_meraki.anyconnect_vpn_session_manager.conn_id		关键字
cisco_meraki.anyconnect_vpn_session_manager.duration		关键字
cisco_meraki.anyconnect_vpn_session_manager.filter		关键字
cisco_meraki.anyconnect_vpn_session_manager.ip		关键字
cisco_meraki.anyconnect_vpn_session_manager.peer_ip		关键字
cisco_meraki.anyconnect_vpn_session_manager.reason		关键字
cisco_meraki.anyconnect_vpn_session_manager.session_id		关键字
cisco_meraki.anyconnect_vpn_session_manager.session_type		关键字
cisco_meraki.anyconnect_vpn_session_manager.tunnel_id		关键字
cisco_meraki.anyconnect_vpn_session_manager.tunnel_type		关键字
cisco_meraki.anyconnect_vpn_session_manager.user_name		关键字
cisco_meraki.aps_association_reject		扁平化
cisco_meraki.association		扁平化
cisco_meraki.bssid		关键字
cisco_meraki.channel		关键字
cisco_meraki.device_packet_flood		扁平化
cisco_meraki.dfs_event		扁平化
cisco_meraki.disassociation		扁平化
cisco_meraki.disposition		关键字
cisco_meraki.event_subtype		关键字
cisco_meraki.event_type		关键字
cisco_meraki.fc_subtype		关键字
cisco_meraki.fc_type		关键字
cisco_meraki.firewall.action		关键字
cisco_meraki.firewall.pattern		关键字
cisco_meraki.firewall.rule		关键字
cisco_meraki.flows		扁平化
cisco_meraki.martian_vlan.Client		关键字
cisco_meraki.martian_vlan.MAC		关键字
cisco_meraki.martian_vlan.VLAN		关键字
cisco_meraki.martian_vlan.details		文本
cisco_meraki.martian_vlan.summary		文本
cisco_meraki.multiple_dhcp_servers_detected		扁平化
cisco_meraki.mxport		关键字
cisco_meraki.new_port_status		关键字
cisco_meraki.old_port_status		关键字
cisco_meraki.port		关键字
cisco_meraki.security.action		关键字
cisco_meraki.security.decision		关键字
cisco_meraki.security.dhost		关键字
cisco_meraki.security.mac		关键字
cisco_meraki.security.priority		关键字
cisco_meraki.security.signature		关键字
cisco_meraki.site_to_site_vpn.connectivity_change		扁平化
cisco_meraki.site_to_site_vpn.raw		文本
cisco_meraki.splash_auth		扁平化
cisco_meraki.urls.mac		关键字
cisco_meraki.vap		关键字
cisco_meraki.wpa_auth		扁平化
cisco_meraki.wpa_deauth		扁平化
cloud.image.id	云实例的镜像 ID。	关键字
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是一个容器。	布尔值
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代号（如果有）。	关键字
input.type	输入类型。	关键字
log.offset	日志文件中条目的偏移量。	长整型
log.source.address	从中读取/发送日志事件的源地址。	关键字

示例

log 的一个示例事件如下所示

{
    "@timestamp": "2021-11-23T18:13:18.348Z",
    "agent": {
        "ephemeral_id": "bd9fe1e0-a3cd-42b7-9b0b-e0946be0c276",
        "id": "234cd698-ca4b-4fd7-8a3f-8617e423274a",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.11.0"
    },
    "cisco_meraki": {
        "event_subtype": "ids_alerted",
        "event_type": "security_event",
        "security": {
            "decision": "allowed",
            "dhost": "D0-AB-D5-7B-43-73",
            "priority": "1",
            "signature": "1:29708:4"
        }
    },
    "data_stream": {
        "dataset": "cisco_meraki.log",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "ip": "10.0.3.162",
        "port": 56391
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "234cd698-ca4b-4fd7-8a3f-8617e423274a",
        "snapshot": false,
        "version": "8.11.0"
    },
    "event": {
        "action": "ids-signature-matched",
        "agent_id_status": "verified",
        "category": [
            "network",
            "intrusion_detection"
        ],
        "dataset": "cisco_meraki.log",
        "ingested": "2023-11-21T20:46:12Z",
        "original": "<134>1 1637691198.348361125 MX84 security_event ids_alerted signature=1:29708:4 priority=1 timestamp=1637691198.330873 dhost=D0:AB:D5:7B:43:73 direction=ingress protocol=tcp/ip src=67.43.156.12:80 dst=10.0.3.162:56391 decision=allowed message: BROWSER-IE Microsoft Internet Explorer CSS uninitialized object access attempt detected",
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "192.168.160.4:52334"
        }
    },
    "message": "BROWSER-IE Microsoft Internet Explorer CSS uninitialized object access attempt detected",
    "network": {
        "direction": "ingress",
        "protocol": "tcp/ip"
    },
    "observer": {
        "hostname": "MX84"
    },
    "source": {
        "as": {
            "number": 35908
        },
        "geo": {
            "continent_name": "Asia",
            "country_iso_code": "BT",
            "country_name": "Bhutan",
            "location": {
                "lat": 27.5,
                "lon": 90.5
            }
        },
        "ip": "67.43.156.12",
        "port": 80
    },
    "tags": [
        "preserve_original_event",
        "cisco-meraki",
        "forwarded"
    ]
}

API 端点（Webhook）

编辑

导出的字段

字段	描述	类型
@timestamp	事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收事件的时间填充。所有事件的必填字段。	日期
cisco_meraki.event.alertData	其他警报数据（因警报类型而异）	扁平化
cisco_meraki.event.alertId	此警报消息的 ID	关键字
cisco_meraki.event.alertLevel	警报级别（信息性、严重等）	关键字
cisco_meraki.event.alertType	警报类型（“网络使用警报”、“设置已更改”等）	关键字
cisco_meraki.event.alertTypeId	警报类型的唯一 ID	关键字
cisco_meraki.event.deviceMac	Meraki 设备的 MAC 地址	关键字
cisco_meraki.event.deviceModel	Meraki 设备型号	关键字
cisco_meraki.event.deviceName	分配给 Meraki 设备的名称	关键字
cisco_meraki.event.deviceSerial	Meraki 设备的序列号	关键字
cisco_meraki.event.deviceTags	分配给 Meraki 设备的标记	关键字
cisco_meraki.event.deviceUrl	Meraki 设备的 URL	关键字
cisco_meraki.event.networkId	Meraki 网络的 ID	关键字
cisco_meraki.event.networkName	Meraki 网络的名称	关键字
cisco_meraki.event.networkTags	分配给 Meraki 网络的标记	关键字
cisco_meraki.event.networkUrl	Meraki 仪表板网络的 URL	关键字
cisco_meraki.event.occurredAt	警报的时间戳 (UTC)	日期
cisco_meraki.event.organizationId	Meraki 组织的 ID	关键字
cisco_meraki.event.organizationName	Meraki 组织的名称	关键字
cisco_meraki.event.organizationUrl	Meraki 仪表板组织的 URL	关键字
cisco_meraki.event.sentAt	发送消息的时间戳 (UTC)	日期
cisco_meraki.event.sharedSecret	用户定义的密钥，由 Webhook 接收器验证（可选）	关键字
cisco_meraki.event.version	Webhook 格式的当前版本	关键字
cloud.image.id	云实例的镜像 ID。	关键字
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
host.containerized	如果主机是一个容器。	布尔值
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代号（如果有）。	关键字
input.type	输入类型。	关键字
log.offset	日志文件中条目的偏移量。	长整型
log.source.address	从中读取/发送日志事件的源地址。	关键字

示例

events 的一个示例事件如下所示

{
    "@timestamp": "2018-02-11T00:00:00.123Z",
    "agent": {
        "ephemeral_id": "9a78410b-655d-4ff4-9fd6-5c47d2b1e28b",
        "id": "29d48081-6d4f-4236-b959-925451410f6f",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.0.0"
    },
    "cisco_meraki": {
        "event": {
            "alertData": {
                "connection": "LTE",
                "local": "192.168.1.2",
                "model": "UML290VW",
                "provider": "Purview Wireless",
                "remote": "1.2.3.5"
            },
            "alertId": "0000000000000000",
            "alertTypeId": "cellular_up",
            "deviceTags": [
                "tag1",
                "tag2"
            ],
            "deviceUrl": "https://n1.meraki.com//n//manage/nodes/new_list/000000000000",
            "networkId": "N_24329156",
            "networkUrl": "https://n1.meraki.com//n//manage/nodes/list",
            "organizationUrl": "https://dashboard.meraki.com/o/VjjsAd/manage/organization/overview",
            "sentAt": "2021-10-07T08:42:00.926325Z",
            "sharedSecret": "secret",
            "version": "0.1"
        }
    },
    "data_stream": {
        "dataset": "cisco_meraki.events",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "29d48081-6d4f-4236-b959-925451410f6f",
        "snapshot": false,
        "version": "8.0.0"
    },
    "event": {
        "action": "Cellular came up",
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "dataset": "cisco_meraki.events",
        "ingested": "2023-09-20T09:09:47Z",
        "original": "{\"alertData\":{\"connection\":\"LTE\",\"local\":\"192.168.1.2\",\"model\":\"UML290VW\",\"provider\":\"Purview Wireless\",\"remote\":\"1.2.3.5\"},\"alertId\":\"0000000000000000\",\"alertLevel\":\"informational\",\"alertType\":\"Cellular came up\",\"alertTypeId\":\"cellular_up\",\"deviceMac\":\"00:11:22:33:44:55\",\"deviceModel\":\"MX\",\"deviceName\":\"My appliance\",\"deviceSerial\":\"Q234-ABCD-5678\",\"deviceTags\":[\"tag1\",\"tag2\"],\"deviceUrl\":\"https://n1.meraki.com//n//manage/nodes/new_list/000000000000\",\"networkId\":\"N_24329156\",\"networkName\":\"Main Office\",\"networkTags\":[],\"networkUrl\":\"https://n1.meraki.com//n//manage/nodes/list\",\"occurredAt\":\"2018-02-11T00:00:00.123450Z\",\"organizationId\":\"2930418\",\"organizationName\":\"My organization\",\"organizationUrl\":\"https://dashboard.meraki.com/o/VjjsAd/manage/organization/overview\",\"sentAt\":\"2021-10-07T08:42:00.926325Z\",\"sharedSecret\":\"secret\",\"version\":\"0.1\"}",
        "type": [
            "info",
            "start"
        ]
    },
    "input": {
        "type": "http_endpoint"
    },
    "log": {
        "level": "informational"
    },
    "network": {
        "name": "Main Office"
    },
    "observer": {
        "mac": [
            "00-11-22-33-44-55"
        ],
        "name": "My appliance",
        "product": "MX",
        "serial_number": "Q234-ABCD-5678",
        "vendor": "Cisco"
    },
    "organization": {
        "id": "2930418",
        "name": "My organization"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "meraki-events"
    ]
}

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.26.0	增强 (查看拉取请求) 请勿在主摄取管道中删除 `event.original`。	8.13.0 或更高版本
1.25.0	增强 (查看拉取请求) 将“preserve_original_event”标记添加到 `event.kind` 设置为“pipeline_error”的文档。	8.13.0 或更高版本
1.24.0	增强 (查看拉取请求) 允许 @custom 管道访问 event.original，而无需设置 preserve_original_event。	8.13.0 或更高版本
1.23.0	增强 (查看拉取请求) 更新 Kibana 约束至 ^8.13.0。修改了字段定义，以移除 ecs@mappings 组件模板中已变得冗余的 ECS 字段。	8.13.0 或更高版本
1.22.0	增强 (查看拉取请求) 保留所有事件的消息。增强 (查看拉取请求) 改进事件类型处理。	8.12.0 或更高版本
1.21.2	缺陷修复 (查看拉取请求) 修复 Webhook 共享密钥配置和行为。	8.12.0 或更高版本
1.21.1	缺陷修复 (查看拉取请求) 修复 URL 处理。	8.12.0 或更高版本
1.21.0	增强 (查看拉取请求) 将敏感值设置为 secret。	8.12.0 或更高版本
1.20.3	增强 (查看拉取请求) 更改了所有者	7.17.0 或更高版本 8.0.0 或更高版本
1.20.2	缺陷修复 (查看拉取请求) 修复 exclude_files 模式。	7.17.0 或更高版本 8.0.0 或更高版本
1.20.1	缺陷修复 (查看拉取请求) 移除不正确的 event.category:threat 和 event.type:indicator 值。	7.17.0 或更高版本 8.0.0 或更高版本
1.20.0	增强 (查看拉取请求) 记录端口状态更改。	7.17.0 或更高版本 8.0.0 或更高版本
1.19.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.18.1	缺陷修复 (查看拉取请求) 修复不带 dhost 和带有 action 的安全事件的处理。	7.17.0 或更高版本 8.0.0 或更高版本
1.18.0	增强 (查看拉取请求) 简化 IPflows 管道以覆盖 ICMP 事件。	7.17.0 或更高版本 8.0.0 或更高版本
1.17.1	缺陷修复 (查看拉取请求) 添加缺失的 `client.as.*` 字段定义。	7.17.0 或更高版本 8.0.0 或更高版本
1.17.0	增强 (查看拉取请求) 改进 `event.original` 检查，以避免在设置时出现错误。	7.17.0 或更高版本 8.0.0 或更高版本
1.16.1	缺陷修复 (查看拉取请求) 从数据流中移除实验性发布标签。	7.17.0 或更高版本 8.0.0 或更高版本
1.16.0	增强 (查看拉取请求) 更新包 format_version 至 3.0.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.15.1	缺陷修复 (查看拉取请求) 移除未使用的 ECS 字段声明。	7.17.0 或更高版本 8.0.0 或更高版本
1.15.0	增强 (查看拉取请求) 为特定事件添加 event.action 和 message。	7.17.0 或更高版本 8.0.0 或更高版本
1.14.0	增强 (查看拉取请求) ECS 版本更新至 8.10.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.13.0	增强 (查看拉取请求) 处理被阻止的 ARP 数据包消息。增强 (查看拉取请求) 处理身份验证事件子类型。增强 (查看拉取请求) 处理端口事件子类型。	7.17.0 或更高版本 8.0.0 或更高版本
1.12.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和已保存的搜索标记为 “安全解决方案”，并显示在安全解决方案 UI 中。	7.17.0 或更高版本 8.0.0 或更高版本
1.11.1	缺陷修复 (查看拉取请求) 根据新的固件 MX18.101 修复流管道。	7.17.0 或更高版本 8.0.0 或更高版本
1.11.0	增强 (查看拉取请求) 将包更新至 ECS 8.9.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.10.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	7.17.0 或更高版本 8.0.0 或更高版本
1.9.0	增强 (查看拉取请求) 将 package-spec 版本更新至 2.7.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.8.0	增强 (查看拉取请求) 将包更新至 ECS 8.8.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 将包更新至 ECS 8.7.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 从流中捕获防火墙规则。	7.17.0 或更高版本 8.0.0 或更高版本
1.5.1	增强 (查看拉取请求) 在 URL 日志中存在 user-agent 时处理。	7.17.0 或更高版本 8.0.0 或更高版本
1.5.0	增强 (查看拉取请求) 将包更新至 ECS 8.6.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.4.1	增强 (查看拉取请求) 改进了时区偏移错误处理。	7.17.0 或更高版本 8.0.0 或更高版本
1.4.0	增强 (查看拉取请求) 向 UDP 输入添加 `udp_options`。	7.17.0 或更高版本 8.0.0 或更高版本
1.3.1	增强 (查看拉取请求) 增强了时区字段的错误处理	7.17.0 或更高版本 8.0.0 或更高版本
1.3.0	增强 (查看拉取请求) 将包更新至 ECS 8.5.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.2.3	缺陷修复 (查看拉取请求) 改进了流事件的处理。	7.17.0 或更高版本 8.0.0 或更高版本
1.2.2	缺陷修复 (查看拉取请求) 删除重复字段。	7.17.0 或更高版本 8.0.0 或更高版本
1.2.1	缺陷修复 (查看拉取请求) 删除重复字段。	7.17.0 或更高版本 8.0.0 或更高版本
1.2.0	增强 (查看拉取请求) 将 preserve_original_event 函数添加到默认管道	7.17.0 或更高版本 8.0.0 或更高版本
1.1.2	缺陷修复 (查看拉取请求) 修复 MAC 地址格式。	7.17.0 或更高版本 8.0.0 或更高版本
1.1.1	增强 (查看拉取请求) 使用 ECS geo.location 定义。	7.17.0 或更高版本 8.0.0 或更高版本
1.1.0	增强 (查看拉取请求) 将包更新至 ECS 8.4.0	7.17.0 或更高版本 8.0.0 或更高版本
1.0.1	缺陷修复 (查看拉取请求) 修复 client.geo.location 映射	7.17.0 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) GA	7.17.0 或更高版本 8.0.0 或更高版本
0.6.1	增强 (查看拉取请求) 更新包名称和描述以符合标准措辞	—
0.6.0	增强 (查看拉取请求) 将包更新至 ECS 8.3.0。	—
0.5.1	增强 (查看拉取请求) 修复文档构建	—
0.5.0	增强 (查看拉取请求) 用 Syslog 和 Webhook 集成替换 RSA2ELK	—
0.4.1	增强 (查看拉取请求) 添加多字段的文档	—
0.4.0	增强 (查看拉取请求) 更新至 ECS 8.0.0	—
0.3.1	缺陷修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	—
0.3.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	—
0.2.3	增强 (查看拉取请求) 更新标题和描述。	—
0.2.2	缺陷修复 (查看拉取请求) 修复了阻止该包在 7.16 中工作的错误。	—
0.2.1	缺陷修复 (查看拉取请求) 修复检查 forwarded 标签的逻辑	—
0.2.0	增强 (查看拉取请求) 更新至 ECS 1.12.0	—
0.1.0	增强 (查看拉取请求) 首次提交将 Cisco Meraki 从通用 Cisco 包中分离出来	—

« Cisco ISE Cisco Nexus »