« Cisco Meraki 集成 Cisco 安全电子邮件网关 »
Elastic 文档 Elastic 集成 Cisco

Cisco Nexus

编辑

Cisco Nexus

编辑

版本

1.2.0 (查看全部)

兼容的 Kibana 版本

8.11.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

概述

编辑

Cisco Nexus 集成允许用户监控错误和系统消息。Cisco Nexus 系列交换机是为数据中心设计的模块化和固定端口网络交换机。Nexus 系列中的所有交换机都在光纤上运行模块化的 NX-OS 固件/操作系统。与众所周知的 Cisco IOS 相比,NX-OS 具有一些高可用性功能。此平台针对高密度 10 千兆以太网进行了优化。

使用 Cisco Nexus 集成来收集和解析来自 Syslog 和日志文件的数据。然后在 Elastic Security 中通过搜索、关联和可视化来呈现这些数据。

数据流

编辑

Cisco Nexus 集成收集一种类型的数据:日志。

日志包含错误和系统消息。有关错误和系统消息的更多详细信息

要求

编辑

必须安装 Elastic Agent。有关更多信息,请参阅此链接此处

所需的最低 kibana.version8.7.0

此模块已针对 Cisco Nexus 9000 系列、3172T 和 3048 交换机进行了测试。

设置

编辑
要从 Cisco Nexus 收集数据,请按照以下步骤操作
编辑

注意

  • 配置步骤可能因交换机而异。我们已提及 9K 系列交换机配置的步骤。
  • 如果日志消息中不存在时区,请使用时区偏移参数。

日志参考

编辑
日志
编辑

这是 Log 数据集。

示例

log 的示例事件如下所示

{
    "@timestamp": "2023-04-26T09:08:48.000Z",
    "agent": {
        "ephemeral_id": "81553388-678e-4d17-8f75-7c7870f7f06c",
        "id": "45b4f828-da65-463c-980e-09ba9a67922b",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.2"
    },
    "cisco_nexus": {
        "log": {
            "description": "EARL 0  NF ASIC: Uncorrectable Parity error in Netflow Table.",
            "facility": "EARL",
            "priority_number": 187,
            "severity": 3,
            "standby": "SW2_DFC1",
            "switch_name": "switchname",
            "time": "2023-04-26T09:08:48.000Z",
            "timezone": "UTC",
            "type": "NF_PARITY_ERROR"
        }
    },
    "data_stream": {
        "dataset": "cisco_nexus.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "45b4f828-da65-463c-980e-09ba9a67922b",
        "snapshot": false,
        "version": "8.10.2"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "code": "NF_PARITY_ERROR",
        "dataset": "cisco_nexus.log",
        "ingested": "2023-10-03T09:37:59Z",
        "kind": "event",
        "original": "<187>switchname: 2023 Apr 26 09:08:48 UTC: %EARL-SW2_DFC1-3-NF_PARITY_ERROR: EARL 0  NF ASIC: Uncorrectable Parity error in Netflow Table.",
        "severity": 3,
        "type": [
            "info"
        ]
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "level": "error",
        "source": {
            "address": "192.168.0.5:48836"
        },
        "syslog": {
            "facility": {
                "code": 23
            },
            "priority": 187,
            "severity": {
                "code": 3
            }
        }
    },
    "message": "EARL 0  NF ASIC: Uncorrectable Parity error in Netflow Table.",
    "observer": {
        "name": "switchname",
        "product": "Nexus",
        "type": "switches",
        "vendor": "Cisco"
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "cisco_nexus-log"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cisco_nexus.log.command

关键字

cisco_nexus.log.description

关键字

cisco_nexus.log.euid

关键字

cisco_nexus.log.facility

关键字

cisco_nexus.log.interface.mode

关键字

cisco_nexus.log.interface.name

关键字

cisco_nexus.log.ip_address

ip

cisco_nexus.log.line_protocol_state

关键字

cisco_nexus.log.logname

关键字

cisco_nexus.log.network.egress_interface

关键字

cisco_nexus.log.network.ingress_interface

关键字

cisco_nexus.log.operating_value

关键字

cisco_nexus.log.operational.duplex_mode

关键字

cisco_nexus.log.operational.receive_flow_control_state

关键字

cisco_nexus.log.operational.speed

关键字

cisco_nexus.log.operational.transmit_flow_control_state

关键字

cisco_nexus.log.priority_number

长整数

cisco_nexus.log.pwd

关键字

cisco_nexus.log.rhost

关键字

cisco_nexus.log.ruser

关键字

cisco_nexus.log.sequence_number

长整数

cisco_nexus.log.severity

长整数

cisco_nexus.log.slot_number

长整数

cisco_nexus.log.standby

关键字

cisco_nexus.log.state

关键字

cisco_nexus.log.switch_name

关键字

cisco_nexus.log.syslog_time

日期

cisco_nexus.log.terminal

关键字

cisco_nexus.log.threshold_value

关键字

cisco_nexus.log.time

日期

cisco_nexus.log.timezone

关键字

cisco_nexus.log.tty

关键字

cisco_nexus.log.type

关键字

cisco_nexus.log.uid

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.dataset

事件数据集。

常量关键字

event.module

事件模块。

常量关键字

input.type

Filebeat 输入的类型。

关键字

log.file.device_id

包含文件所在文件系统的设备的 ID。

关键字

log.file.fingerprint

启用指纹识别时,该文件的 sha256 指纹标识。

关键字

log.file.idxhi

与文件关联的唯一标识符的高位部分。(仅限 Windows)

关键字

log.file.idxlo

与文件关联的唯一标识符的低位部分。(仅限 Windows)

关键字

log.file.inode

日志文件的 inode 编号。

关键字

log.file.vol

包含文件的卷的序列号。(仅限 Windows)

关键字

log.offset

日志偏移量。

长整数

log.source.address

从中读取/发送日志事件的源地址。

关键字

tags

用户定义的标记。

关键字

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.2.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.11.0 或更高版本

1.1.1

错误修复 (查看拉取请求)
修复摄取管道警告

8.7.0 或更高版本

1.1.0

增强功能 (查看拉取请求)
将程序包规范更新到 3.0.3。

8.7.0 或更高版本

1.0.1

增强功能 (查看拉取请求)
已更改所有者

8.7.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
发布程序包作为 GA。

8.7.0 或更高版本

0.21.1

错误修复 (查看拉取请求)
修复 exclude_files 模式。

0.21.0

增强功能 (查看拉取请求)
ECS 版本已更新到 8.11.0。

0.20.0

增强功能 (查看拉取请求)
改进event.original检查,以避免在设置时出错。

0.19.0

增强功能 (查看拉取请求)
调整字段以适应文件系统信息的更改

0.18.0

增强功能 (查看拉取请求)
ECS 版本已更新到 8.10.0。

0.17.0

增强功能 (查看拉取请求)
程序包清单中的 format_version 从 2.11.0 更改为 3.0.0。从程序包清单中删除了带点的 YAML 键。在程序包清单中添加了 owner.type: elastic

0.16.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成的仪表板和已保存的搜索,并在安全解决方案 UI 中显示它们。

0.15.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.9.0。

0.14.2

错误修复 (查看拉取请求)
删除令人困惑的错误消息标记前缀。

0.14.1

增强功能 (查看拉取请求)
添加对新日志格式的支持。

0.14.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

0.13.0

增强功能 (查看拉取请求)
将 RSA2ELK 替换为 Syslog 集成。

0.12.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.8.0。

0.11.0

增强功能 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

0.10.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.7.0。

0.9.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.6.0。

0.8.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.5.0。

0.7.3

错误修复 (查看拉取请求)
删除重复字段。

0.7.2

错误修复 (查看拉取请求)
删除重复字段。

0.7.1

增强功能 (查看拉取请求)
使用 ECS geo.location 定义。

0.7.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.4.0

0.6.0

增强功能 (查看拉取请求)
将程序包更新到 ECS 8.3.0。

0.5.1

增强功能 (查看拉取请求)
更新了自述文件

0.5.0

增强功能 (查看拉取请求)
更新到 ECS 8.2.0

0.4.1

增强功能 (查看拉取请求)
添加多字段文档

0.4.0

增强功能 (查看拉取请求)
更新到 ECS 8.0.0

0.3.1

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.3.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

0.2.3

增强 (查看拉取请求)
更新标题和描述。

0.2.2

Bug 修复 (查看拉取请求)
修复了该软件包在 7.16 版本中无法工作的 Bug。

0.2.1

Bug 修复 (查看拉取请求)
修复了检查 forwarded 标签的逻辑

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

0.1.0

增强 (查看拉取请求)
从 Cisco 软件包中拆分 Cisco Nexus 的初始实现

« Cisco Meraki 集成 Cisco 安全电子邮件网关 »