« Cisco Nexus Cisco Secure Endpoint 集成 »

› ›

思科安全电子邮件网关

版本	1.24.2 (查看全部)
兼容的 Kibana 版本	8.11.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观察性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

思科电子邮件安全设备集成使用 TCP/UDP 和日志文件从思科安全电子邮件网关收集和解析数据。

兼容性

编辑

此模块已针对 思科安全电子邮件网关服务器 14.0.0 版本虚拟网关 C100V 和以下给定的日志模式进行了测试。

配置

编辑

登录到思科安全电子邮件网关门户，并按照以下步骤进行配置
1. 在思科安全电子邮件网关管理员门户中，转到 系统管理 > 日志订阅。
2. 单击 添加日志订阅。
3. 输入所有必填详细信息。
4. 为各个类别设置日志名称如下
  - AMP 引擎日志 → amp
  - 反垃圾邮件日志 → antispam
  - 反病毒日志 → antivirus
  - 身份验证日志 → authentication
  - 退回邮件日志 → bounces
  - 综合事件日志 → consolidated_event
  - 内容扫描器日志 → content_scanner
  - HTTP 日志 → gui_logs
  - IronPort 文本邮件日志 → error_logs
  - 文本邮件日志 → mail_logs
  - 状态日志 → status
  - 系统日志 → system
5. 选择日志级别为信息。
6. 选择检索方法。
7. 单击提交并提交更改。

注意

编辑

支持的检索方法
- 以下类别支持FTP 推送到远程服务器：AMP 引擎日志、反垃圾邮件日志、反病毒日志、身份验证日志、退回邮件日志、综合事件日志、内容扫描器日志、HTTP 日志、IronPort 文本邮件日志、文本邮件日志、状态日志和系统日志。
- 以下类别支持Syslog 推送：AMP 引擎日志、反垃圾邮件日志、反病毒日志、综合事件日志、内容扫描器日志、HTTP 日志、IronPort 文本邮件日志、文本邮件日志、状态日志和系统日志。

示例日志

编辑

以下是各个类别的示例日志

AMP 引擎日志

编辑

File reputation query initiating. File Name = 'mod-6.exe', MID = 5, File Size = 1673216 bytes, File Type = application/x-dosexec

Response received for file reputation query from Cloud. FileName = 'mod-6.exe', MID = 5, Disposition = MALICIOUS, Malware = W32.061DEF69B5-100.SBX.TG,Reputation Score = 73, sha256 =061def69b5c100e9979610fa5675bd19258b19a7ff538b5c2d230b467c312f19, upload_action = 2

File Analysis complete. SHA256: 16454aff5082c2e9df43f3e3b9cdba3c6ae1766416e548c30a971786db570bfc, Submit Timestamp: 1475825466, Update Timestamp: 1475825953, Disposition: 3 Score: 100, run_id: 194926004 Details: Analysis is completed for the File SHA256[16454aff5082c2e9df43f3e3b9cdba3c6ae1766416e548c30a971786db570bfc] Spyname:[W32.16454AFF50-100.SBX.TG]

File not uploaded for analysis. MID = 0 File SHA256[a5f28f1fed7c2fe88bcdf403710098977fa12c32d13bfbd78bbe27e95b245f82] file mime[text/plain] Reason: No active/dynamic contents exists

File analysis upload skipped. SHA256: b5c7e26491983baa713c9a2910ee868efd891661c6a0553b28f17b8fdc8cc3ef,Timestamp[1454782976] details[File SHA256[b5c7e26491983baa713c9a2910ee868efd891661c6a0553b28f17b8fdc8cc3ef] file mime[application/pdf], upload priority[Low] not uploaded, re-tries[3], backoff[986] discarding ...]

SHA256: 69e17e213732da0d0cbc48ae7030a4a18e0c1289f510e8b139945787f67692a5,Timestamp[1454959409] details[Server Response HTTP code:[502]]

Retrospective verdict received. SHA256: 16454aff5082c2e9df43f3e3b9cdba3c6ae1766416e548c30a971786db570bfc, Timestamp: 1475832815.7, Verdict: MALICIOUS, Reputation Score: 0, Spyname: W32.16454AFF50-100.SBX.

反垃圾邮件日志

编辑

case antispam - engine (72324) : case-daemon: Initializing Child

case antispam - engine (15703) : case-daemon: all children killed, exitting

case antispam - engine (15703) : case-daemon: server killed by SIGHUP, shutting down

反病毒日志

编辑

sophos  antivirus - MID 69391938 - Result 'CLEAN' ()

sophos  antivirus - MID 68431780 0 - Error - 'Encrypted' '0x8004021'

sophos  antivirus - MID 66842418 0 - Virus 'CXmail/Phish-O' 'body.scan/Payment.html' 1 0

sophos  antivirus - MID 66784457 0 - Virus 'CXmail/MalPE-HB' 'body.scan/242426.cab/rockro9046.exe' 1 0

sophos  antivirus - MID 68016096 0 - Virus 'CXmail/MalPE-FL' 'body.scan/redactedFileName.rar/redactedFileName.exe' 1 0

sophos  antivirus - MID 68016096 0 - Virus 'CXmail/MalPE-AC' 'body.scan/redactedFileName.rar' 1 0

sophos  antivirus - MID 66301278 0 - Virus 'Mal/DrodRar-AIC' 'body.scan/anotherFileName.arj' 1 0

sophos  antivirus - MID 67753636 0 - Virus 'Troj/MSIL-TAR' 'body.scan/otherFileName.exe' 1 0

sophos  antivirus - MID 66710307 7 - Limit - 'Max Files Exceeded'

sophos  antivirus - MID 66708787 - timed out on message

身份验证日志

编辑

The user admin successfully logged on from 1.128.3.4 with privilege admin using an HTTPS connection.

CLI: User admin logged out from 1.128.3.4 because of inactivity timeout

GUI: User admin logged out from session d0PfzQa02E8NwMiah2jx because of inactivity timeout

logout:1.128.3.4 user:admin session:wKV0AK29Ggdhztfl4Sal

User admin logged out of SSH session 1.128.3.4

An authentication attempt by the user admin from 1.128.3.4 failed using an HTTPS connection.

User admin was authenticated successfully.

User joe failed authentication.

退回邮件日志

编辑

Bounced: DCID 2 MID 15232 From:<example.com> To:<example.com> RID 0 - 5.1.0 - Unknown address error ('550', ['5.1.1 The email account that you tried to reach does not exist. Please try', "5.1.1 double-checking the recipient's email address for typos or", '5.1.1 unnecessary spaces. Learn more at', '5.1.1  xxxxx ay44si12078156oib.94 - gsmtp'])

Bounced: 123:123 From:<example.com> To:<example.com>

综合事件日志

编辑

CEF:0|Cisco|C100V Email Security Virtual Appliance|14.0.0-657|ESA_CONSOLIDATED_LOG_EVENT|Consolidated Log Event|5|deviceExternalId=42127C7DDEE76852677B-F80CE8074CD3 ESAMID=1053 ESAICID=134 ESAAMPVerdict=UNKNOWN ESAASVerdict=NEGATIVE ESAAVVerdict=NEGATIVE  ESACFVerdict=MATCH endTime=Thu Mar 18 08:04:46 2021 ESADLPVerdict=NOT_EVALUATED dvc=1.128.3.4 ESAAttachmentDetails={'test.txt': {'AMP': {'Verdict': 'FILE UNKNOWN', 'fileHash': '7f843d263304fb0516d6210e9de4fa7f01f2f623074aab6e3ee7051f7b785cfa'}, 'BodyScanner': {'fsize': 10059}}} ESAFriendlyFrom=example.com ESAGMVerdict=NEGATIVE startTime=Thu Mar 18 08:04:29 2021 deviceInboundInterface=Incomingmail deviceDirection=0 ESAMailFlowPolicy=ACCEPT suser=example.com cs1Label=MailPolicy cs1=DEFAULT ESAMFVerdict=NOT_EVALUATED act=QUARANTINED ESAFinalActionDetails=To POLICY cs4Label=ExternalMsgID cs4='<example.com>' ESAMsgSize=11873 ESAOFVerdict=POSITIVE duser=example.com ESAHeloIP=1.128.3.4 cfp1Label=SBRSScore cfp1=None ESASDRDomainAge=27 years 2 months 15 days cs3Label=SDRThreatCategory cs3=N/A cs6Label=SDRRepScore cs6=Weak ESASPFVerdict={'mailfrom': {'result': 'None', 'sender': 'example.com'}, 'helo': {'result': 'None', 'sender': 'postmaster'}, 'pra': {'result': 'None', 'sender': 'example.com'}} sourceHostName=unknown ESASenderGroup=UNKNOWNLIST sourceAddress=1.128.3.4 msg='Testing'

内容扫描器日志

编辑

PF: Starting multi-threaded Perceptive server (pid=17729)

PF: Restarting content_scanner service.

IronPort 文本邮件日志

编辑

Quarantine: Failed to connect to quarantine

Internal SMTP giving up on message to example.com with subject 'Warning <System> example.com: Your "IronPort Email Encryption" key will expire in under 60...': Unrecoverable error.

Error while sending alert: Unable to send System/Warning alert to example.com with subject "Warning <System> example.com: Your "IronPort Email Encryption" key will expire in under 60...".

Internal SMTP system attempting to send a message to example.com with subject 'Critical <System> example.com: Log Error: Subscription error_logs: Failed to connect to 10....' (attempt #0).

HTTP 日志

编辑

req:1.128.3.4 user:admin id:2v10z5fEuDsvhdbVE6Ck 200 GET xxx.png HTTP/1.1 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36

req:1.128.3.4 user:- id:2v10z5fEuDsvhdbVE6Ck 200 GET xxx.png HTTP/1.1 -

Action: User admin logged out from session 5GPz0QDlfxUYQ0Y3PgYN beacuse of inactivity timeout

Session fRK3TSjzhHhoI9CV5Kvt user:admin expired

Session fRK3TSjzhHhoI9CV5Kvt from 1.128.3.4 not found Destination:/mail_policies/email_security_manager/incoming_mail_policies

SourceIP:1.128.3.4 Destination:/login Username:admin Privilege:admin session:5GPz0QDlfxUYQ0Y3PgYN Action: The HTTPS session has been established successfully.

PERIODIC REPORTS: No root directory for Periodic Reports Archive. Probably, running first time...

Could not fetch current Virus Threat Level: OS error opening URL 'http://example.com/xxxxx/xxxxx.txt'

SSL error with client 1.128.3.4:000 - (336151574, 'error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown')

Error in https connection from host 1.128.3.4 port 000 - [Errno 54] Connection reset by peer

Passphrase has been changed for user admin

文本邮件日志

编辑

MID 111 DLP violation. Severity: LOW (Risk Factor: 15). DLP policy match: 'PCI-DSS (Payment Card Industry Data Security Standard)'.

graymail [CONFIG] Starting graymail configuration handler

URL_REP_CLIENT: Configuration changed. Triggering restart of URL Reputation client service.

A System/Warning alert was sent to example.com with subject "Warning <System> cisco.esa: URL category definitions have changed.; Added new category '...".

New SMTP ICID 5 interface Management (1.128.3.4) address 1.128.3.4 reverse dns host example.com verified yes

Start MID 6 ICID 5

MID 6 ICID 5 From: <example.com>

MID 6 ICID 5 RID 0 To: <example.com>

MID 6 ready 100 bytes from <example.com>

ICID 5 close

New SMTP DCID 8 interface 1.128.3.4 address 1.128.3.4

Delivery start DCID 8 MID 6 to RID [0]

Message done DCID 8 MID 6 to RID [0]

DCID 8 close

URL category definitions have changed. Please check and update your filters to use the new definitions

Error while sending alert: Unable to send System/Warning alert to example.com with subject "Warning <System> example.com: Your "IronPort Email Encryption" key will expire in under 60...".

Your "IronPort Anti-Spam" key will expire in under 60 day(s). Please contact your authorized Cisco sales representative.

Internal SMTP system successfully sent a message to example.com with subject 'Warning <System> cisco.esa: Your "Sophos Anti-Virus" key will expire in under 60 day(s)....'.

Internal SMTP giving up on message to example.com with subject 'Warning <System> example.com: Your "IronPort Email Encryption" key will expire in under 60...': Unrecoverable error.

Internal SMTP Error: Failed to send message to host 1.128.3.4:000 for recipient example: Unexpected SMTP response "553", expecting code starting with "2", response was ['#5.1.8 Domain of sender address <example.xxx> does not exist'].

MID 68119155 RID [0] Response '2.0.0 OK  1687954632 redactedstring - gsmtp'

MID 68119155 Subject "redacted subject"

MID 68119155 queued for delivery

Message finished MID 68119155 done

MID 68119155 interim verdict using engine: CASE bulk

MID 68119155 interim AV verdict using Sophos CLEAN

MID 68119155 using engine: GRAYMAIL positive

MID 68119155 Outbreak Filters: verdict negative

MID 68119155 using engine: SPF Verdict Cache using cached verdict

MID 68119155 Message-ID '<[email protected]>'

MID 68119155 DMARC: Verification passed

MID 68119155 SPF: mailfrom identity [email protected] Pass (v=spf1)

MID 68119155 matched all recipients for per-recipient policy DEFAULT in the inbound table

MID 68119155 SDR: Tracker Header : redactedTrackerHeader

MID 68119155 SDR: Domains for which SDR is requested: reverse DNS host: redacted.redactedMailFrom.com, helo: redacted.redactedMailFrom.com, env-from: redactedMailFrom.com, header-from: redactedMailFrom.com, reply-to: redactedMailFrom.com

MID 68119155 SDR: Consolidated Sender Threat Level: Neutral, Threat Category: N/A, Suspected Domain(s) : N/A (other reasons for verdict). Sender Maturity: 30 days (or greater) for domain: redacted.redactedMailFrom.com

MID 68119155 DMARC: Message from domain redactedMailFrom.com, DMARC pass (SPF aligned True, DKIM aligned True)

MID 68119155 DKIM: pass signature verified (d=redactedMailFrom.com s=srsa2048 [email protected])

MID 68119155 AMP file reputation verdict : SKIPPED (no attachment in message)

状态日志

编辑

Status: CPULd 0 DskIO 0 RAMUtil 1 QKUsd 0 QKFre 8388608 CrtMID 0 CrtICID 0 CrtDCID 1 InjMsg 0 InjRcp 0 GenBncRcp 0 RejRcp 0 DrpMsg 0 SftBncEvnt 0 CmpRcp 0 HrdBncRcp 0 DnsHrdBnc 0 5XXHrdBnc 0 FltrHrdBnc 0 ExpHrdBnc 0 OtrHrdBnc 0 DlvRcp 0 DelRcp 0 GlbUnsbHt 0 ActvRcp 0 UnatmptRcp 0 AtmptRcp 0 CrtCncIn 0 CrtCncOut 0 DnsReq 0 NetReq 0 CchHit 0 CchMis 0 CchEct 0 CchExp 0 CPUTTm 91 CPUETm 32182 MaxIO 487 RAMUsd 125195690 MMLen 0 DstInMem 3 ResCon 0 WorkQ 0 QuarMsgs 0 QuarQKUsd 0 LogUsd 5 SophLd 99 BMLd 0 CASELd 0 TotalLd 47 LogAvail 148G EuQ 0 EuqRls 0 CmrkLd 0 McafLd 0 SwIn 338 SwOut 681 SwPgIn 2123 SwPgOut 7156 SwapUsage 0% RptLd 0 QtnLd 0 EncrQ 0 InjBytes 0

系统日志

编辑

PID 1237: User admin commit changes: Added a second CLI log for examples

lame DNS referral: qname:example.net ns_name:example.net zone:example.net ref_zone:example.net referrals:[(524666183436709L, 0, 'insecure', 'example.net'), (524666183436709L, 0, 'insecure', 'example.net')]

Failed to bootstrap the DNS resolver. Unable to contact root servers.

DNS query network error '[Errno 51] Network is unreachable' to 'dummy_ip' looking up ' '

Received an invalid DNS Response: '' to IP dummy_ip looking up example.de

日志

编辑

log

编辑

这是 log 数据集。

示例

log 的一个示例事件如下所示

{
    "@timestamp": "2023-03-17T18:24:37.000Z",
    "agent": {
        "ephemeral_id": "7dbab520-f89c-42fb-93be-e46d1ec05fb8",
        "id": "0949f27e-3199-48ba-af2b-55e717cda399",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.7.1"
    },
    "cisco_secure_email_gateway": {
        "log": {
            "category": {
                "name": "amp"
            },
            "message": "File reputation query initiating. File Name = 'mod-6.exe', MID = 5, File Size = 1673216 bytes, File Type = application/x-dosexec"
        }
    },
    "data_stream": {
        "dataset": "cisco_secure_email_gateway.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "0949f27e-3199-48ba-af2b-55e717cda399",
        "snapshot": false,
        "version": "8.7.1"
    },
    "email": {
        "attachments": {
            "file": {
                "name": "mod-6.exe",
                "size": 1673216
            }
        },
        "content_type": "application/x-dosexec",
        "message_id": "5"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "cisco_secure_email_gateway.log",
        "ingested": "2023-10-31T06:24:58Z",
        "kind": "event",
        "timezone": "UTC"
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "level": "info",
        "source": {
            "address": "192.168.254.4:57187"
        },
        "syslog": {
            "priority": 166
        }
    },
    "tags": [
        "forwarded",
        "cisco_secure_email_gateway-log"
    ]
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	date
cisco_secure_email_gateway.log.5xx_hard_bounces	5XX 硬退回。	long
cisco_secure_email_gateway.log.act		keyword
cisco_secure_email_gateway.log.action		keyword
cisco_secure_email_gateway.log.active_recipients	活动收件人。	long
cisco_secure_email_gateway.log.address		ip
cisco_secure_email_gateway.log.alert_category		keyword
cisco_secure_email_gateway.log.antivirus_result		keyword
cisco_secure_email_gateway.log.appliance.product		keyword
cisco_secure_email_gateway.log.appliance.vendor		keyword
cisco_secure_email_gateway.log.appliance.version		keyword
cisco_secure_email_gateway.log.attempted_recipients	尝试的收件人。	long
cisco_secure_email_gateway.log.backoff	电子邮件网关在尝试将文件上传到文件分析服务器之前需要等待的 (x) 秒数。当电子邮件网关达到每日上传限制时，会发生这种情况。	long
cisco_secure_email_gateway.log.bmld		long
cisco_secure_email_gateway.log.bounce_type	退回或延迟（例如，硬退回或软退回）。	keyword
cisco_secure_email_gateway.log.cache.exceptions	缓存异常。	long
cisco_secure_email_gateway.log.cache.expired	缓存过期。	long
cisco_secure_email_gateway.log.cache.hits	缓存命中。	long
cisco_secure_email_gateway.log.cache.misses	缓存未命中。	long
cisco_secure_email_gateway.log.case_id		keyword
cisco_secure_email_gateway.log.case_ld	CASE 扫描使用的 CPU 百分比。	long
cisco_secure_email_gateway.log.category.name		keyword
cisco_secure_email_gateway.log.cef_format_version		keyword
cisco_secure_email_gateway.log.cfp1		double
cisco_secure_email_gateway.log.cfp1_label		keyword
cisco_secure_email_gateway.log.cmrkld		long
cisco_secure_email_gateway.log.command		text
cisco_secure_email_gateway.log.commit_changes		text
cisco_secure_email_gateway.log.completed_recipients	已完成的收件人。	long
cisco_secure_email_gateway.log.connection		keyword
cisco_secure_email_gateway.log.connection_status		keyword
cisco_secure_email_gateway.log.cpu.elapsed_time	自应用程序启动以来经过的时间。	long
cisco_secure_email_gateway.log.cpu.total_time	应用程序使用的总 CPU 时间。	long
cisco_secure_email_gateway.log.cpu.utilization	CPU 使用率。	long
cisco_secure_email_gateway.log.crt.delivery_connection_id	交付连接 ID (DCID)。	keyword
cisco_secure_email_gateway.log.crt.injection_connection_id	注入连接 ID (ICID)。	keyword
cisco_secure_email_gateway.log.cs1		keyword
cisco_secure_email_gateway.log.cs1_label		keyword
cisco_secure_email_gateway.log.cs2		keyword
cisco_secure_email_gateway.log.cs2_label		keyword
cisco_secure_email_gateway.log.cs3		keyword
cisco_secure_email_gateway.log.cs3_label		keyword
cisco_secure_email_gateway.log.cs4		keyword
cisco_secure_email_gateway.log.cs4_label		keyword
cisco_secure_email_gateway.log.cs5		keyword
cisco_secure_email_gateway.log.cs5_label		keyword
cisco_secure_email_gateway.log.cs6		keyword
cisco_secure_email_gateway.log.cs6_label		keyword
cisco_secure_email_gateway.log.current.inbound_connections	当前入站连接。	long
cisco_secure_email_gateway.log.current.outbound_connections	当前出站连接。	long
cisco_secure_email_gateway.log.data.ip		ip
cisco_secure_email_gateway.log.deleted_recipients	已删除的收件人。	long
cisco_secure_email_gateway.log.delivered_recipients	已送达的收件人。	long
cisco_secure_email_gateway.log.delivery_connection_id	交付连接 ID。这是与另一台服务器的单个 SMTP 连接的数字标识符，用于交付 1 到数千条消息，每条消息都有一些或全部 RID 在单个消息传输中交付。	keyword
cisco_secure_email_gateway.log.description		text
cisco_secure_email_gateway.log.destination		text
cisco_secure_email_gateway.log.destination_memory	内存中的目标对象数。	long
cisco_secure_email_gateway.log.details	其他信息。	text
cisco_secure_email_gateway.log.device_direction		keyword
cisco_secure_email_gateway.log.disk_io	磁盘 I/O 使用率。	long
cisco_secure_email_gateway.log.disposition	文件信誉处置值包括：恶意、清理文件、未知 - 当信誉分数为零时。判决未知 - 当处置为文件未知且分数不为零时。低风险 - 当在文件分析后未在文件中找到动态内容时，判决为低风险。该文件不会发送以进行文件分析，消息将继续通过电子邮件管道。	keyword
cisco_secure_email_gateway.log.dkim_aligned	协议 DKIM 对齐为 true 或 false。	boolean
cisco_secure_email_gateway.log.dns.hard_bounces	DNS 硬退回。	long
cisco_secure_email_gateway.log.dns.requests	DNS 请求。	long
cisco_secure_email_gateway.log.domain		keyword
cisco_secure_email_gateway.log.dropped_messages	已丢弃的消息。	long
cisco_secure_email_gateway.log.email		keyword
cisco_secure_email_gateway.log.email_participants	电子邮件中的所有参与者。	keyword
cisco_secure_email_gateway.log.email_tracker_header	包含（但不通常显示）用于高效电子邮件跟踪和传递的关键信息的标头。	keyword
cisco_secure_email_gateway.log.encrypted_hash		keyword
cisco_secure_email_gateway.log.encryption_queue	加密队列中的消息。	long
cisco_secure_email_gateway.log.engine	临时判决使用的引擎。	keyword
cisco_secure_email_gateway.log.env		keyword
cisco_secure_email_gateway.log.error_code		keyword
cisco_secure_email_gateway.log.esa.amp_verdict		keyword
cisco_secure_email_gateway.log.esa.as_verdict		keyword
cisco_secure_email_gateway.log.esa.attachment_details		text
cisco_secure_email_gateway.log.esa.av_verdict		keyword
cisco_secure_email_gateway.log.esa.content_filter_verdict		keyword
cisco_secure_email_gateway.log.esa.dane.host		keyword
cisco_secure_email_gateway.log.esa.dane.ip		ip
cisco_secure_email_gateway.log.esa.dane.status		keyword
cisco_secure_email_gateway.log.esa.delivery_connection_id		keyword
cisco_secure_email_gateway.log.esa.dha_source		ip
cisco_secure_email_gateway.log.esa.dkim_verdict		keyword
cisco_secure_email_gateway.log.esa.dlp_verdict		keyword
cisco_secure_email_gateway.log.esa.dmarc_verdict		keyword
cisco_secure_email_gateway.log.esa.final_action_details		text
cisco_secure_email_gateway.log.esa.friendly_from		keyword
cisco_secure_email_gateway.log.esa.graymail_verdict		keyword
cisco_secure_email_gateway.log.esa.helo.domain		keyword
cisco_secure_email_gateway.log.esa.helo.ip		ip
cisco_secure_email_gateway.log.esa.injection_connection_id		keyword
cisco_secure_email_gateway.log.esa.mail_auto_remediation_action		text
cisco_secure_email_gateway.log.esa.mail_flow_policy		keyword
cisco_secure_email_gateway.log.esa.mar_action		keyword
cisco_secure_email_gateway.log.esa.mf_verdict		keyword
cisco_secure_email_gateway.log.esa.msg_size		long
cisco_secure_email_gateway.log.esa.msg_too_big		keyword
cisco_secure_email_gateway.log.esa.msg_too_big_from_sender		boolean
cisco_secure_email_gateway.log.esa.outbreak_filter_verdict		keyword
cisco_secure_email_gateway.log.esa.rate_limited_ip		keyword
cisco_secure_email_gateway.log.esa.reply_to		keyword
cisco_secure_email_gateway.log.esa.sdr_consolidated_domain_age		text
cisco_secure_email_gateway.log.esa.sender_group		keyword
cisco_secure_email_gateway.log.esa.spf_verdict		keyword
cisco_secure_email_gateway.log.esa.tls.domain		keyword
cisco_secure_email_gateway.log.esa.tls.in.cipher		keyword
cisco_secure_email_gateway.log.esa.tls.in.connection_status		keyword
cisco_secure_email_gateway.log.esa.tls.in.protocol		keyword
cisco_secure_email_gateway.log.esa.tls.out.cipher		keyword
cisco_secure_email_gateway.log.esa.tls.out.connection_status		keyword
cisco_secure_email_gateway.log.esa.tls.out.protocol		keyword
cisco_secure_email_gateway.log.esa.url_details		text
cisco_secure_email_gateway.log.estimated.quarantine	垃圾邮件隔离区中消息的估计数量。	long
cisco_secure_email_gateway.log.estimated.quarantine_release_queue	垃圾邮件隔离区发布队列中消息的估计数量。	long
cisco_secure_email_gateway.log.event.name		keyword
cisco_secure_email_gateway.log.event_class_id		keyword
cisco_secure_email_gateway.log.expired_hard_bounces	过期的硬退回。	long
cisco_secure_email_gateway.log.filter_hard_bounces	筛选器硬退回。	long
cisco_secure_email_gateway.log.generated_bounce_recipients	生成的退回邮件收件人。	long
cisco_secure_email_gateway.log.global_unsubscribe_hits	全局取消订阅命中。	long
cisco_secure_email_gateway.log.hard_bounce_recipients	硬退回收件人。	long
cisco_secure_email_gateway.log.helo		keyword
cisco_secure_email_gateway.log.host	发送日志的主机的主机名或序列号。在思科安全电子邮件网关日志订阅仪表板中配置。	keyword
cisco_secure_email_gateway.log.injected.bytes	注入消息的总大小（以字节为单位）。	long
cisco_secure_email_gateway.log.injected.messages	注入消息。	long
cisco_secure_email_gateway.log.injected.recipients	注入收件人。	long
cisco_secure_email_gateway.log.injection_connection_id	注入连接 ID。这是到系统的单个 SMTP 连接的数字标识符，可以通过该连接发送 1 到数千条单独的消息。	keyword
cisco_secure_email_gateway.log.interface		keyword
cisco_secure_email_gateway.log.listener.name		keyword
cisco_secure_email_gateway.log.log_available	日志文件可用的磁盘空间量。	keyword
cisco_secure_email_gateway.log.log_used	使用的日志分区百分比。	long
cisco_secure_email_gateway.log.malware	恶意软件威胁的名称。	keyword
cisco_secure_email_gateway.log.maturity	发件人成熟时间。	keyword
cisco_secure_email_gateway.log.max_io	邮件进程的每秒最大磁盘 I/O 操作数。	long
cisco_secure_email_gateway.log.mcafee_ld	McAfee 防病毒扫描使用的 CPU 百分比。	long
cisco_secure_email_gateway.log.message		text
cisco_secure_email_gateway.log.message_filters_verdict		keyword
cisco_secure_email_gateway.log.message_status		keyword
cisco_secure_email_gateway.log.messages_length	系统中消息总数。	long
cisco_secure_email_gateway.log.name		keyword
cisco_secure_email_gateway.log.network_requests	网络请求。	long
cisco_secure_email_gateway.log.ns_name		keyword
cisco_secure_email_gateway.log.object		keyword
cisco_secure_email_gateway.log.object_attr		keyword
cisco_secure_email_gateway.log.object_category		keyword
cisco_secure_email_gateway.log.other_hard_bounces	其他硬退回。	long
cisco_secure_email_gateway.log.outcome		keyword
cisco_secure_email_gateway.log.policy	入站表中定义的每个收件人策略。	keyword
cisco_secure_email_gateway.log.privilege		keyword
cisco_secure_email_gateway.log.qname		keyword
cisco_secure_email_gateway.log.quarantine.load	隔离过程中的 CPU 负载。	long
cisco_secure_email_gateway.log.quarantine.messages	策略、病毒或爆发隔离区中的独立消息数量（在多个隔离区中出现的消息仅计算一次）。	long
cisco_secure_email_gateway.log.quarantine.queue_kilobytes_used	策略、病毒和爆发隔离消息使用的千字节数。	long
cisco_secure_email_gateway.log.queue_kilobytes_free	队列可用千字节数。	long
cisco_secure_email_gateway.log.queue_kilobytes_usd	队列已用千字节数。	long
cisco_secure_email_gateway.log.ram.used	已分配的内存（以字节为单位）。	long
cisco_secure_email_gateway.log.ram.utilization	RAM 利用率。	long
cisco_secure_email_gateway.log.rank		long
cisco_secure_email_gateway.log.read_bytes		long
cisco_secure_email_gateway.log.recepients		keyword
cisco_secure_email_gateway.log.recipient_id	收件人 ID。	keyword
cisco_secure_email_gateway.log.ref_zone		keyword
cisco_secure_email_gateway.log.referrals		text
cisco_secure_email_gateway.log.rejected_recipients	被拒绝的收件人。	long
cisco_secure_email_gateway.log.reporting_load	报告过程中的 CPU 负载。	long
cisco_secure_email_gateway.log.reputation_score	文件信誉服务器分配给文件的信誉评分。	keyword
cisco_secure_email_gateway.log.resource_conservation	资源保护 tarpit 值。由于系统负载过重，传入邮件的接受会延迟此秒数。	long
cisco_secure_email_gateway.log.response	来自收件人主机的 SMTP 响应代码和消息。	text
cisco_secure_email_gateway.log.result		text
cisco_secure_email_gateway.log.retries	在给定文件上执行的上传尝试次数。	long
cisco_secure_email_gateway.log.risk_factor		long
cisco_secure_email_gateway.log.run_id	文件分析服务器为特定文件分析分配给文件的数值（ID）。	keyword
cisco_secure_email_gateway.log.score	文件分析服务器分配给文件的分析评分。	long
cisco_secure_email_gateway.log.server_error_details		text
cisco_secure_email_gateway.log.session		keyword
cisco_secure_email_gateway.log.severity		keyword
cisco_secure_email_gateway.log.soft_bounced_events	软退回事件。	long
cisco_secure_email_gateway.log.sophos_ld	Sophos 防病毒扫描使用的 CPU 百分比。	long
cisco_secure_email_gateway.log.spf_aligned	协议 SPF 是否对齐为 true 或 false。	boolean
cisco_secure_email_gateway.log.spy_name	如果在文件分析期间在文件中发现恶意软件，则为威胁的名称。	keyword
cisco_secure_email_gateway.log.start_time		keyword
cisco_secure_email_gateway.log.subject		text
cisco_secure_email_gateway.log.submit.timestamp	电子邮件网关将文件上传到文件分析服务器的日期和时间。	date
cisco_secure_email_gateway.log.suspected_domains		keyword
cisco_secure_email_gateway.log.swap_usage		keyword
cisco_secure_email_gateway.log.swapped.in	换入的内存。	long
cisco_secure_email_gateway.log.swapped.out	换出的内存。	long
cisco_secure_email_gateway.log.swapped.page.in	分页载入的内存。	long
cisco_secure_email_gateway.log.swapped.page.out	分页写出的内存。	long
cisco_secure_email_gateway.log.threat_category	威胁的类别。	keyword
cisco_secure_email_gateway.log.threat_level	威胁级别。	keyword
cisco_secure_email_gateway.log.total_ld	总 CPU 消耗。	long
cisco_secure_email_gateway.log.type		keyword
cisco_secure_email_gateway.log.unattempted_recipients	未尝试的收件人。	long
cisco_secure_email_gateway.log.update.timestamp	文件分析完成的日期和时间。	date
cisco_secure_email_gateway.log.upload.action	文件信誉服务器建议对给定文件采取的上传操作值：0 - 无需发送上传。 1 - 发送文件进行上传。注意：当上传操作值为“1”时，电子邮件网关将上传文件。2 - 不要发送文件进行上传。 3 - 仅发送元数据进行上传。	keyword
cisco_secure_email_gateway.log.upload.priority	上传优先级值包括：高 - 对于除 PDF 文件类型之外的所有选定文件类型。低 - 仅对于 PDF 文件类型。	keyword
cisco_secure_email_gateway.log.vendor_action		keyword
cisco_secure_email_gateway.log.verdict	文件回顾性判定值为恶意或干净。	keyword
cisco_secure_email_gateway.log.verdict_scale	判定为否定或肯定。	keyword
cisco_secure_email_gateway.log.verdict_source	判定来源。	keyword
cisco_secure_email_gateway.log.verified		keyword
cisco_secure_email_gateway.log.work_queue	这是当前在工作队列中的消息数。	long
cisco_secure_email_gateway.log.zone		keyword
client.ip	客户端的 IP 地址（IPv4 或 IPv6）。	ip
cloud.account.id	用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。	keyword
cloud.availability_zone	此主机运行所在的可用区。	keyword
cloud.image.id	云实例的映像 ID。	keyword
cloud.instance.id	主机的主机 ID。	keyword
cloud.instance.name	主机的主机名称。	keyword
cloud.machine.type	主机的主机类型。	keyword
cloud.project.id	Google Cloud 中项目的名称。	keyword
cloud.provider	云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。	keyword
cloud.region	此主机运行所在的区域。	keyword
container.id	唯一容器 ID。	keyword
container.image.name	容器构建所基于的映像的名称。	keyword
container.labels	映像标签。	object
container.name	容器名称。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.ip	目标的 IP 地址（IPv4 或 IPv6）。	ip
destination.port	目标的端口。	long
dns.question.name	正在查询的名称。如果名称字段包含不可打印的字符（低于 32 或高于 126），则应将这些字符表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。	keyword
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是必需字段，并且必须存在于所有事件中。当跨可能符合略有不同的 ECS 版本的多个索引进行查询时，此字段允许集成调整为事件的架构版本。	keyword
email.attachments.file.hash.sha256	SHA256 哈希。	keyword
email.attachments.file.mime_type	附件的 MIME 媒体类型。此值通常将从 `Content-Type` MIME 标头字段中提取。	keyword
email.attachments.file.name	附件文件的名称（包括文件扩展名）。	keyword
email.attachments.file.size	附件文件大小（以字节为单位）。	long
email.content_type	有关如何显示消息的信息。通常是 MIME 类型。	keyword
email.direction	基于发送和接收域的消息方向。	keyword
email.from.address	发件人的电子邮件地址，通常来自 RFC 5322 `From:` 标头字段。	keyword
email.message_id	来自 RFC 5322 `Message-ID:` 电子邮件标头的标识符，该标识符引用特定的电子邮件消息。	wildcard
email.subject	消息主题的简短摘要。	keyword
email.subject.text	`email.subject` 的多字段。	match_only_text
email.to.address	收件人的电子邮件地址	keyword
event.dataset	事件数据集。	constant_keyword
event.end	`event.end` 包含事件结束的时间或上次观察到活动的时间。	date
event.id	描述事件的唯一 ID。	keyword
event.module	事件模块。	constant_keyword
event.outcome	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最低级别。`event.outcome` 仅表示从生成事件的实体的角度来看，该事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件都可以根据其角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，应使用最能从事件生成器的角度捕获整体成功或失败的值来填充此字段。此外，请注意，并非所有事件都具有关联的结果。例如，对于指标事件、`event.type:info` 的事件或任何结果没有逻辑意义的事件，通常不会填充此字段。	keyword
event.reason	根据源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。当 `event.action` 从事件捕获操作时，`event.reason` 描述了采取该操作的原因。例如，具有拒绝请求的 `event.action` 的 Web 代理也可能会使用原因（例如，`blocked site`）填充 `event.reason`。	keyword
event.start	`event.start` 包含事件开始的时间或上次观察到活动的时间。	date
file.extension	文件扩展名，不包括前导点。请注意，当文件名有多个扩展名时 (example.tar.gz)，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	keyword
file.hash.sha256	SHA256 哈希。	keyword
file.name	文件的名称（包括扩展名），不包含目录。	keyword
host.architecture	操作系统架构。	keyword
host.containerized	如果主机是容器。	boolean
host.domain	主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供程序的域。	keyword
host.hostname	主机的计算机名。它通常包含 `hostname` 命令在主机上返回的内容。	keyword
host.id	唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 `beat.name` 的用法。	keyword
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。	keyword
host.name	主机名称。它可以包含 Unix 系统上 `hostname` 返回的值、完全限定域名或用户指定的名称。发送方决定使用哪个值。	keyword
host.os.build	操作系统构建信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
host.os.family	操作系统系列（例如 redhat、debian、freebsd、windows）。	keyword
host.os.kernel	操作系统内核版本，以原始字符串形式表示。	keyword
host.os.name	操作系统名称，不带版本号。	keyword
host.os.name.text	`host.os.name` 的多字段。	text
host.os.platform	操作系统平台（例如 centos、ubuntu、windows）。	keyword
host.os.version	操作系统版本，以原始字符串形式表示。	keyword
host.type	主机类型。对于云提供商，这可以是机器类型，例如 `t2.medium`。如果为虚拟机，则这可以是容器（例如）或环境中其他有意义的信息。	keyword
http.request.method	HTTP 请求方法。该值应保留原始事件中的大小写。例如，`GET`、`get` 和 `GeT` 都被认为是该字段的有效值。	keyword
http.response.status_code	HTTP 响应状态代码。	long
http.version	HTTP 版本。	keyword
input.type	输入类型。	keyword
log.file.path	从中读取/发送日志事件的文件路径。	keyword
log.level	日志事件的原始日志级别。如果事件源提供了日志级别或文本严重性，则此级别将放入 `log.level` 中。如果您的源未指定级别，则可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例包括 `warn`、`err`、`i`、`informational`。	keyword
log.offset	日志偏移量。	long
log.source.address	从中读取/发送日志事件的源地址。	keyword
log.syslog.priority	事件的 Syslog 数字优先级（如果可用）。根据 RFC 5424 和 3164，优先级为 8 * facility + severity。因此，此数字应包含 0 到 191 之间的值。	long
network.protocol	在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。为了方便查询，字段值必须规范化为小写。	keyword
observer.vendor	观察者的供应商名称。	keyword
process.pid	进程 ID。	long
related.hash	事件中出现的所有哈希值。填充此字段，然后使用它来搜索哈希值，可以帮助您在不确定哈希算法是什么（因此不确定要搜索哪个键名）的情况下进行搜索。	keyword
related.ip	事件中出现的所有 IP 地址。	ip
related.user	事件中出现的所有用户名或其他用户标识符。	keyword
source.domain	源系统的域名。该值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件，也可以从富化中添加。	keyword
source.ip	源 IP 地址（IPv4 或 IPv6）。	ip
source.port	源端口。	long
tags	用于标记每个事件的关键字列表。	keyword
url.path	请求的路径，例如 "/search"。	wildcard
user.name	用户的简称或登录名。	keyword
user.name.text	`user.name` 的多字段。	match_only_text
user_agent.device.name	设备名称。	keyword
user_agent.name	用户代理的名称。	keyword
user_agent.original	未解析的用户代理字符串。	keyword
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text
user_agent.os.full	操作系统名称，包括版本或代号。	keyword
user_agent.os.full.text	`user_agent.os.full` 的多字段。	match_only_text
user_agent.os.name	操作系统名称，不带版本号。	keyword
user_agent.os.name.text	`user_agent.os.name` 的多字段。	match_only_text
user_agent.os.version	操作系统版本，以原始字符串形式表示。	keyword
user_agent.version	用户代理的版本。	keyword

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.24.2	Bug 修复 (查看拉取请求) 修复解析文件上传的 text_mail 日志行。	8.11.0 或更高版本
1.24.1	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三花括号 Mustache 模板。	8.11.0 或更高版本
1.24.0	增强 (查看拉取请求) 允许 @custom 管道访问 event.original，而无需设置 preserve_original_event。	8.11.0 或更高版本
1.23.3	Bug 修复 (查看拉取请求) 修复了解析错误，该错误过于贪婪，如果日志中冒号过多则无法解析	8.7.1 或更高版本
1.23.2	Bug 修复 (查看拉取请求) 修复摄取管道警告	8.7.1 或更高版本
1.23.1	Bug 修复 (查看拉取请求) 改进合并事件的字段提取和解析。	8.7.1 或更高版本
1.23.0	增强 (查看拉取请求) 将软件包规范更新到 3.0.3。	8.7.1 或更高版本
1.22.2	Bug 修复 (查看拉取请求) 如果主机名出现在 category.name 之前，则修复 grok。	8.7.1 或更高版本
1.22.1	增强 (查看拉取请求) 更改了所有者	8.7.1 或更高版本
1.22.0	Bug 修复 (查看拉取请求) 修复缺少结束时间和开始时间时合并事件的处理。 Bug 修复 (查看拉取请求) 修复文件名包含逗号时 AMP 日志的处理。增强 (查看拉取请求) 从 AMP 日志解析字段 Analysis Source 和 verdict_source。	8.7.1 或更高版本
1.21.0	增强 (查看拉取请求) 处理并记录日志主机源文件路径。	8.7.1 或更高版本
1.20.1	Bug 修复 (查看拉取请求) 修复 exclude_files 模式。	8.7.1 或更高版本
1.20.0	Bug 修复 (查看拉取请求) 修复 mail_logs 的错误 grok。增强 (查看拉取请求) 添加新字段 cisco_secure_email_gateway.log.email_participants。	8.7.1 或更高版本
1.19.0	增强 (查看拉取请求) ECS 版本更新到 8.11.0。	8.7.1 或更高版本
1.18.0	增强 (查看拉取请求) 支持日志邮件类别的新格式，并为防病毒类别添加管道。	8.7.1 或更高版本
1.17.0	增强 (查看拉取请求) 改进 event.original 检查，以避免在设置时出错。	8.7.1 或更高版本
1.16.0	增强 (查看拉取请求) 更新摄取管道以处理 v15。 Bug 修复 (查看拉取请求) 修复处理没有 syslog 优先级的日志。 Bug 修复 (查看拉取请求) 修复处理合并事件的 `event.start` 和 `event.end`。	8.7.1 或更高版本
1.15.0	增强 (查看拉取请求) ECS 版本更新到 8.10.0。	8.7.1 或更高版本
1.14.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了带点的 YAML 键。向软件包清单添加了 owner.type: elastic。	8.7.1 或更高版本
1.13.1	Bug 修复 (查看拉取请求) 删除 type 和 filepath 的未使用映射。	8.7.1 或更高版本
1.13.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便使用“安全解决方案”标记集成的仪表板和已保存的搜索，并在安全解决方案 UI 中显示。	8.7.1 或更高版本
1.12.0	增强 (查看拉取请求) 将 package-spec 更新到 2.10.0。	8.7.1 或更高版本
1.11.2	Bug 修复 (查看拉取请求) 正确匹配 Unix 和 Windows 样式的路径。	8.7.1 或更高版本
1.11.1	Bug 修复 (查看拉取请求) 匹配 Unix 和 Windows 样式的路径	8.7.1 或更高版本
1.11.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.9.0。	8.7.1 或更高版本
1.10.1	Bug 修复 (查看拉取请求) 修复昂贵的合并事件日志的 grok 超时问题。	8.7.1 或更高版本
1.10.0	增强 (查看拉取请求) 将仪表板转换为 lens。	8.7.1 或更高版本
1.9.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	7.17.0 或更高版本 8.0.0 或更高版本
1.8.2	Bug 修复 (查看拉取请求) 修复 AMP 管道中的 grok 模式。	7.17.0 或更高版本 8.0.0 或更高版本
1.8.1	Bug 修复 (查看拉取请求) 修复合并事件管道	7.17.0 或更高版本 8.0.0 或更高版本
1.8.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.8.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.7.1	Bug 修复 (查看拉取请求) 修复合并管道中的 grok 模式和时区。	7.17.0 或更高版本 8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.7.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.6.2	Bug 修复 (查看拉取请求) 修复 AMP 管道中的 grok 模式。	7.17.0 或更高版本 8.0.0 或更高版本
1.6.1	增强 (查看拉取请求) 添加了类别和/或子类别。	7.17.0 或更高版本 8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 允许配置时区。	7.17.0 或更高版本 8.0.0 或更高版本
1.5.1	增强 (查看拉取请求) 添加 trim 处理器以删除消息中的空格。	7.17.0 或更高版本 8.0.0 或更高版本
1.5.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.6.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.4.0	增强 (查看拉取请求) 将 `udp_options` 添加到 UDP 输入。	7.17.0 或更高版本 8.0.0 或更高版本
1.3.1	Bug 修复 (查看拉取请求) 修复 grok 模式以提取其他字段	7.17.0 或更高版本 8.0.0 或更高版本
1.3.0	增强 (查看拉取请求) 向 date 处理器添加 on_failure 处理器。	7.17.0 或更高版本 8.0.0 或更高版本
1.2.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.5.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.1.0	增强 (查看拉取请求) 改进了不正确的日志文件路径配置的错误消息。 Bug 修复 (查看拉取请求) 修复了从文件路径中提取日志类别的 grok 模式。	7.17.0 或更高版本 8.0.0 或更高版本
1.0.1	Bug 修复 (查看拉取请求) 删除重复字段。	7.17.0 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) 使 GA	7.17.0 或更高版本 8.0.0 或更高版本
0.3.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.4.0	—
0.2.1	增强 (查看拉取请求) 改进 SSL 配置描述和示例。	—
0.2.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.3.0。	—
0.1.0	增强 (查看拉取请求) 软件包的初始草案	—

« Cisco Nexus Cisco Secure Endpoint 集成 »