Cloudflare Logpush
编辑Cloudflare Logpush
编辑概述
编辑Cloudflare Logpush 集成允许您监视访问请求、审计、CASB、设备姿态、DNS、DNS 防火墙、防火墙事件、网关 DNS、网关 HTTP、网关网络、HTTP 请求、Magic IDS、NEL 报告、网络分析、Sinkhole HTTP、Spectrum 事件、网络会话和 Workers 跟踪事件日志。Cloudflare 是一家内容交付网络和 DDoS 缓解公司。Cloudflare 提供了一个旨在使您连接到互联网的所有内容安全、私密、快速且可靠的网络;保护您的网站、API 和互联网应用程序;保护公司网络、员工和设备;以及编写和部署在网络边缘运行的代码。
Cloudflare Logpush 集成可以使用三种不同的模式来收集数据
- HTTP 端点模式 - Cloudflare 将日志直接推送到您的 Elastic Agent 托管的 HTTP 端点。
- AWS S3 轮询模式 - Cloudflare 将数据写入 S3,Elastic Agent 通过列出其内容并读取新文件来轮询 S3 存储桶。
- AWS S3 SQS 模式 - Cloudflare 将数据写入 S3,S3 将新的对象通知推送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。在此模式下可以使用多个 Agent。
例如,您可以使用此集成中的数据来了解哪些网站的流量最高、哪些地区的网络流量最高,或观察缓解统计数据。
数据流
编辑Cloudflare Logpush 集成收集以下类型的事件的日志。
零信任事件
编辑访问请求:请参阅示例架构 此处。
审计:请参阅示例架构 此处。
CASB 发现:请参阅示例架构 此处。
设备姿态结果:请参阅示例架构 此处。
网关 DNS:请参阅示例架构 此处。
网关 HTTP:请参阅示例架构 此处。
网关网络:请参阅示例架构 此处。
零信任网络会话:请参阅示例架构 此处。
非零信任事件
编辑DNS:请参阅示例架构 此处。
DNS 防火墙:请参阅示例架构 此处。
防火墙事件:请参阅示例架构 此处。
HTTP 请求:请参阅示例架构 此处。
Magic IDS:请参阅示例架构 此处。
NEL 报告:请参阅示例架构 此处。
网络分析:请参阅示例架构 此处。
Sinkhole HTTP:请参阅示例架构 此处。
Spectrum 事件:请参阅示例架构 此处。
Workers 跟踪事件:请参阅示例架构 此处。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
此模块已针对 Cloudflare v4 版本进行了测试。
建议将 AWS SQS 用于 Cloudflare Logpush。
设置
编辑要从 AWS S3 存储桶收集数据,请按照以下步骤操作
编辑- 配置 Cloudflare Logpush to Amazon S3 以将 Cloudflare 的数据发送到 AWS S3 存储桶。
-
下面列出了“存储桶列表前缀”的默认值。但是,用户可以根据他们的要求设置参数“存储桶列表前缀”。
数据流名称 存储桶列表前缀 访问请求
access_request
审计日志
audit_logs
CASB 发现
casb
设备姿态结果
device_posture
DNS
dns
DNS 防火墙
dns_firewall
防火墙事件
firewall_event
网关 DNS
gateway_dns
网关 HTTP
gateway_http
网关网络
gateway_network
HTTP 请求
http_request
Magic IDS
magic_ids
NEL 报告
nel_report
网络分析
network_analytics_logs
零信任网络会话
network_session
Sinkhole HTTP
sinkhole_http
Spectrum 事件
spectrum_event
Workers 跟踪事件
workers_trace
要从 AWS SQS 收集数据,请按照以下步骤操作
编辑- 如果尚未配置将 Logpush 转发到 AWS S3 存储桶,则首先按照上述文档中所述设置一个 AWS S3 存储桶。
-
请为每个已启用的 Logpush 数据流执行以下步骤
注意
- 每个启用的数据流都需要单独的 SQS 队列和 S3 存储桶通知。
- 上述 AWS S3 存储桶和 SQS 队列的权限应根据 Filebeat S3 输入文档进行配置
- 上述 AWS S3 和 SQS 输入类型的凭据应使用 链接进行配置。
- 在这种情况下,通过 AWS S3 存储桶和 AWS SQS 进行的数据收集是互斥的。
要从与 S3 兼容的 Cloudflare R2 存储桶收集数据,请按照以下步骤操作
编辑- 配置 数据转发器 以将日志推送到 Cloudflare R2。
注意
- 创建 API 令牌时,请确保它具有 管理权限。这是列出存储桶和查看存储桶配置所必需的。
当配置集成以从与 S3 兼容的存储桶(例如 Cloudflare R2)读取时,需要执行以下步骤
- 启用切换按钮
通过 S3 存储桶收集日志。 - 确保已设置存储桶名称。
- 尽管您必须创建 API 令牌,但该令牌不应用于与 S3 API 进行身份验证。您只需设置访问密钥 ID 和秘密访问密钥。
- 设置端点 URL,可以在存储桶详细信息中找到。端点应是完整 URI,将用作服务的 API 端点。对于 Cloudflare R2 存储桶,URI 通常采用
https(s)://<帐户 ID>.r2.cloudflarestorage.com的形式。 - 每个数据流的存储桶前缀是可选的。
注意
- 配置 R2 存储桶时,AWS 区域不是必需的,因为任何 R2 存储桶的区域都从 API 角度来看是
auto。但是,当启动集成时,可能会出现错误failed to get AWS region for bucket: operation error S3: GetBucketLocation。原因是GetBucketLocation是启动集成时向 API 发出的第一个请求,因此任何配置、凭据或权限错误都会导致此错误。请关注 API 响应错误以确定原始问题。
要从 GCS 存储桶收集数据,请按照以下步骤操作
编辑注意
- GCS 输入当前不支持使用存储桶前缀获取存储桶,因此必须为每个数据流手动配置存储桶名称。
- GCS 输入当前仅接受服务帐户 JSON 密钥或服务帐户 JSON 文件进行身份验证。
- GCS 输入当前仅支持 json 数据。
要从 Cloudflare HTTP 端点收集数据,请按照以下步骤操作
编辑- 参考链接:启用 HTTP 目标,了解 Cloudflare Logpush。
- 在两侧添加相同的自定义标头及其值,以增强安全性。
- 例如,在为特定数据集创建作业时,同时添加标头和值
curl --location --request POST 'https://api.cloudflare.com/client/v4/zones/<ZONE ID>/logpush/jobs' \
--header 'X-Auth-Key: <X-AUTH-KEY>' \
--header 'X-Auth-Email: <X-AUTH-EMAIL>' \
--header 'Authorization: <BASIC AUTHORIZATION>' \
--header 'Content-Type: application/json' \
--data-raw '{
"name":"<public domain>",
"destination_conf": "https://<public domain>:<public port>/<dataset path>?header_Content-Type=application/json&header_<secret_header>=<secret_value>",
"dataset": "audit",
"logpull_options": "fields=RayID,EdgeStartTimestamp×tamps=rfc3339"
}'
注意
- 请求数据中的 `destination_conf` 参数应将 Content-Type 标头设置为
application/json。这是 HTTP 端点期望的传入事件的内容类型。 - HTTP 端点的默认端口是 *9560*。
- 当多个数据集使用相同的端口时,请务必指定不同的数据集路径。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理” > “集成”。
- 在集成搜索栏中键入 Cloudflare Logpush。
- 从搜索结果中单击 Cloudflare Logpush 集成。
- 单击 添加 Cloudflare Logpush 按钮以添加 Cloudflare Logpush 集成。
- 通过 HTTP 端点、AWS S3 输入或 GCS 输入启用集成。
- 在 AWS S3 输入下,有两种输入类型:使用 AWS S3 存储桶或使用 SQS。
- 按照上面的特定指南,配置 Cloudflare 将日志发送到 Elastic Agent(通过 HTTP 端点)或任何 R2、AWS 或 GCS 存储桶。
日志参考
编辑access_request
编辑这是 access_request 数据集。
示例
access_request 的一个示例事件如下所示
{
"@timestamp": "2023-05-23T17:18:33.000Z",
"agent": {
"ephemeral_id": "7b082606-3815-40c0-b4d8-db6183c25670",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"client": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.93"
},
"cloudflare_logpush": {
"access_request": {
"action": "login",
"allowed": true,
"app": {
"domain": "partner-zt-logs.cloudflareaccess.com/warp",
"uuid": "123e4567-e89b-12d3-a456-426614174000"
},
"client": {
"ip": "67.43.156.93"
},
"connection": "onetimepin",
"country": "us",
"ray": {
"id": "00c0ffeeabc12345"
},
"request": {
"prompt": "Please provide your reason for accessing the application.",
"response": "I need to access the application for work purposes."
},
"temp_access": {
"approvers": [
"[email protected]",
"[email protected]"
],
"duration": 7200
},
"timestamp": "2023-05-23T17:18:33.000Z",
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245333949f"
}
}
},
"data_stream": {
"dataset": "cloudflare_logpush.access_request",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "login",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.access_request",
"id": "00c0ffeeabc12345",
"ingested": "2023-09-25T18:20:10Z",
"kind": "event",
"original": "{\"Action\":\"login\",\"Allowed\":true,\"AppDomain\":\"partner-zt-logs.cloudflareaccess.com/warp\",\"AppUUID\":\"123e4567-e89b-12d3-a456-426614174000\",\"Connection\":\"onetimepin\",\"Country\":\"us\",\"CreatedAt\":1684862313000000000,\"Email\":\"[email protected]\",\"IPAddress\":\"67.43.156.93\",\"PurposeJustificationPrompt\":\"Please provide your reason for accessing the application.\",\"PurposeJustificationResponse\":\"I need to access the application for work purposes.\",\"RayID\":\"00c0ffeeabc12345\",\"TemporaryAccessApprovers\":[\"[email protected]\",\"[email protected]\"],\"TemporaryAccessDuration\":7200,\"UserUID\":\"166befbb-00e3-5e20-bd6e-27245333949f\"}",
"type": [
"access",
"allowed"
]
},
"input": {
"type": "http_endpoint"
},
"related": {
"ip": [
"67.43.156.93"
],
"user": [
"166befbb-00e3-5e20-bd6e-27245333949f",
"[email protected]",
"[email protected]",
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-access_request"
],
"url": {
"domain": "partner-zt-logs.cloudflareaccess.com/warp"
},
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245333949f"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.access_request.action |
这是什么类型的记录。登录 |
注销。 |
关键字 |
cloudflare_logpush.access_request.allowed |
请求是否被允许或拒绝。 |
布尔值 |
cloudflare_logpush.access_request.app.domain |
Access 正在保护的应用程序的域名。 |
关键字 |
cloudflare_logpush.access_request.app.uuid |
Access 应用程序 UUID。 |
关键字 |
cloudflare_logpush.access_request.client.ip |
客户端的 IP 地址。 |
ip |
cloudflare_logpush.access_request.connection |
用于登录的身份提供商。 |
关键字 |
cloudflare_logpush.access_request.country |
请求的来源国家/地区。 |
关键字 |
cloudflare_logpush.access_request.ray.id |
请求的标识符。 |
关键字 |
cloudflare_logpush.access_request.request.prompt |
访问应用程序时提示客户端的消息。 |
关键字 |
cloudflare_logpush.access_request.request.response |
客户端访问应用程序时给出的理由。 |
关键字 |
cloudflare_logpush.access_request.temp_access.approvers |
此访问请求的审批者列表。 |
关键字 |
cloudflare_logpush.access_request.temp_access.duration |
此访问请求的批准持续时间。 |
长整型 |
cloudflare_logpush.access_request.timestamp |
发出相应访问请求的日期和时间。 |
日期 |
cloudflare_logpush.access_request.user.email |
登录用户的电子邮件。 |
关键字 |
cloudflare_logpush.access_request.user.id |
登录用户的 uid。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
audit
编辑这是 audit 数据集。
示例
audit 的一个示例事件如下所示
{
"@timestamp": "2021-11-30T20:19:48.000Z",
"agent": {
"ephemeral_id": "2bf30adb-b1f3-4b24-9be4-a4cbb3cbc922",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"audit": {
"action": {
"result": "success",
"type": "token_create"
},
"actor": {
"email": "[email protected]",
"id": "enl3j9du8rnx2swwd9l32qots7l54t9s",
"ip": "81.2.69.142",
"type": "user"
},
"id": "73fd39ed-5aab-4a2a-b93c-c9a4abf0c425",
"interface": "UI",
"metadata": {
"token_name": "test",
"token_tag": "b7261c49a793a82678d12285f0bc1401"
},
"new_value": {
"key1": "value1",
"key2": "value2"
},
"old_value": {
"key3": "value4",
"key4": "value4"
},
"owner": {
"id": "enl3j9du8rnx2swwd9l32qots7l54t9s"
},
"resource": {
"id": "enl3j9du8rnx2swwd9l32qots7l54t9s",
"type": "account"
},
"timestamp": "2021-11-30T20:19:48.000Z"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "token_create",
"agent_id_status": "verified",
"category": [
"authentication"
],
"dataset": "cloudflare_logpush.audit",
"id": "73fd39ed-5aab-4a2a-b93c-c9a4abf0c425",
"ingested": "2023-09-25T18:21:22Z",
"kind": "event",
"original": "{\"ActionResult\":true,\"ActionType\":\"token_create\",\"ActorEmail\":\"[email protected]\",\"ActorID\":\"enl3j9du8rnx2swwd9l32qots7l54t9s\",\"ActorIP\":\"81.2.69.142\",\"ActorType\":\"user\",\"ID\":\"73fd39ed-5aab-4a2a-b93c-c9a4abf0c425\",\"Interface\":\"UI\",\"Metadata\":{\"token_name\":\"test\",\"token_tag\":\"b7261c49a793a82678d12285f0bc1401\"},\"NewValue\":{\"key1\":\"value1\",\"key2\":\"value2\"},\"OldValue\":{\"key3\":\"value4\",\"key4\":\"value4\"},\"OwnerID\":\"enl3j9du8rnx2swwd9l32qots7l54t9s\",\"ResourceID\":\"enl3j9du8rnx2swwd9l32qots7l54t9s\",\"ResourceType\":\"account\",\"When\":\"2021-11-30T20:19:48Z\"}",
"outcome": "success",
"provider": "UI",
"type": [
"info"
]
},
"input": {
"type": "http_endpoint"
},
"related": {
"ip": [
"81.2.69.142"
],
"user": [
"enl3j9du8rnx2swwd9l32qots7l54t9s"
]
},
"source": {
"ip": "81.2.69.142"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-audit"
],
"user": {
"email": "[email protected]",
"id": "enl3j9du8rnx2swwd9l32qots7l54t9s"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.audit.action.result |
操作是否成功。 |
关键字 |
cloudflare_logpush.audit.action.type |
采取的操作类型。 |
关键字 |
cloudflare_logpush.audit.actor.email |
执行者的电子邮件。 |
关键字 |
cloudflare_logpush.audit.actor.id |
Cloudflare 系统中执行者的唯一标识符。 |
关键字 |
cloudflare_logpush.audit.actor.ip |
执行者的物理网络地址。 |
ip |
cloudflare_logpush.audit.actor.type |
启动审计跟踪的用户类型。 |
关键字 |
cloudflare_logpush.audit.id |
审计日志的唯一标识符。 |
关键字 |
cloudflare_logpush.audit.interface |
审计日志的入口点或接口。 |
文本 |
cloudflare_logpush.audit.metadata |
其他审计日志特定信息,元数据以键:值对的形式组织,键和值的格式可能因 ResourceType 而异。 |
已扁平化 |
cloudflare_logpush.audit.new_value |
包含审计项目的新值。 |
已扁平化 |
cloudflare_logpush.audit.old_value |
包含审计项目的旧值。 |
已扁平化 |
cloudflare_logpush.audit.owner.id |
正在操作或代表其执行操作的用户的标识符。 |
关键字 |
cloudflare_logpush.audit.resource.id |
Cloudflare 系统中资源的唯一标识符。 |
关键字 |
cloudflare_logpush.audit.resource.type |
已更改的资源类型。 |
关键字 |
cloudflare_logpush.audit.timestamp |
更改发生的时间。 |
日期 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
casb
编辑这是 casb 数据集。
示例
casb 的一个示例事件如下所示
{
"@timestamp": "2023-05-16T10:00:00.000Z",
"agent": {
"ephemeral_id": "3b1c9617-77f5-4ce2-ad16-dc9ca9602c56",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"casb": {
"asset": {
"id": "0051N000004mG2LAAA",
"metadata": {
"Address": {
"city": "Singapore",
"country": "Singapore",
"countryCode": "SG"
},
"Alias": "JDoe",
"BannerPhotoUrl": "/profilephoto/001",
"CommunityNickname": "Doe.John",
"CompanyName": "MyCompany",
"DefaultGroupNotificationFrequency": "N",
"Department": "521",
"DigestFrequency": "D",
"Email": "[email protected]",
"EmailEncodingKey": "UTF-8",
"EmailPreferencesAutoBcc": true,
"EmployeeNumber": "18124",
"FirstName": "John",
"ForecastEnabled": false,
"FullPhotoUrl": "https://photos.com/profilephoto/001",
"Id": "0051N000004mG2LAAA",
"IsActive": false,
"IsProfilePhotoActive": false,
"LanguageLocaleKey": "en_US",
"LastLoginDate": "2021-10-06T06:32:09.000+0000",
"LastName": "Doe",
"LocaleSidKey": "en_SG",
"MediumBannerPhotoUrl": "/profilephoto/001/E",
"Name": "John Doe",
"Phone": "+3460000000",
"ReceivesAdminInfoEmails": true,
"ReceivesInfoEmails": true,
"SenderEmail": "[email protected]",
"SmallBannerPhotoUrl": "/profilephoto/001/D",
"SmallPhotoUrl": "https://photos.com/photo/001",
"TimeZoneSidKey": "Asia/Singapore",
"Title": "Customer Solutions Engineer",
"UserPermissionsCallCenterAutoLogin": false,
"UserPermissionsInteractionUser": true,
"UserPermissionsMarketingUser": false,
"UserPermissionsOfflineUser": false,
"UserPermissionsSupportUser": false,
"UserRoleId": "00E2G000001E",
"UserType": "Standard",
"attributes": {
"type": "User",
"url": "/services/data/userID"
}
},
"name": "John Doe",
"url": "https://example.com/resource"
},
"finding": {
"id": "6b187be4-2dd5-42c5-a37b-111111111111",
"type": {
"id": "a2790c4f-03f5-449f-b209-5f4447f417aa",
"name": "Salesforce User Sending Email with Different Email Address",
"severity": "Medium"
}
},
"integration": {
"id": "c772678d-5cf1-4c73-bf3f-111111111111",
"name": "Salesforce Testing",
"policy_vendor": "Salesforce Connection"
},
"timestamp": "2023-05-16T10:00:00.000Z"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.casb",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.casb",
"id": "6b187be4-2dd5-42c5-a37b-111111111111",
"ingested": "2023-09-25T18:22:35Z",
"kind": "event",
"original": "{\"AssetDisplayName\":\"John Doe\",\"AssetExternalID\":\"0051N000004mG2LAAA\",\"AssetLink\":\"https://example.com/resource\",\"AssetMetadata\":{\"AccountId\":null,\"Address\":{\"city\":\"Singapore\",\"country\":\"Singapore\",\"countryCode\":\"SG\",\"geocodeAccuracy\":null,\"latitude\":null,\"longitude\":null,\"postalCode\":null,\"state\":null,\"stateCode\":null,\"street\":null},\"Alias\":\"JDoe\",\"BadgeText\":\"\",\"BannerPhotoUrl\":\"/profilephoto/001\",\"CallCenterId\":null,\"CommunityNickname\":\"Doe.John\",\"CompanyName\":\"MyCompany\",\"ContactId\":null,\"DefaultGroupNotificationFrequency\":\"N\",\"Department\":\"521\",\"DigestFrequency\":\"D\",\"Division\":null,\"Email\":\"[email protected]\",\"EmailEncodingKey\":\"UTF-8\",\"EmailPreferencesAutoBcc\":true,\"EmployeeNumber\":\"18124\",\"Extension\":null,\"Fax\":null,\"FederationIdentifier\":null,\"FirstName\":\"John\",\"ForecastEnabled\":false,\"FullPhotoUrl\":\"https://photos.com/profilephoto/001\",\"Id\":\"0051N000004mG2LAAA\",\"IsActive\":false,\"IsProfilePhotoActive\":false,\"LanguageLocaleKey\":\"en_US\",\"LastLoginDate\":\"2021-10-06T06:32:09.000+0000\",\"LastName\":\"Doe\",\"LastReferencedDate\":null,\"LastViewedDate\":null,\"LocaleSidKey\":\"en_SG\",\"MediumBannerPhotoUrl\":\"/profilephoto/001/E\",\"MobilePhone\":null,\"Name\":\"John Doe\",\"OfflineTrialExpirationDate\":null,\"Phone\":\"+3460000000\",\"ReceivesAdminInfoEmails\":true,\"ReceivesInfoEmails\":true,\"SenderEmail\":\"[email protected]\",\"SenderName\":null,\"Signature\":null,\"SmallBannerPhotoUrl\":\"/profilephoto/001/D\",\"SmallPhotoUrl\":\"https://photos.com/photo/001\",\"TimeZoneSidKey\":\"Asia/Singapore\",\"Title\":\"Customer Solutions Engineer\",\"UserPermissionsCallCenterAutoLogin\":false,\"UserPermissionsInteractionUser\":true,\"UserPermissionsMarketingUser\":false,\"UserPermissionsOfflineUser\":false,\"UserPermissionsSupportUser\":false,\"UserRoleId\":\"00E2G000001E\",\"UserType\":\"Standard\",\"attributes\":{\"type\":\"User\",\"url\":\"/services/data/userID\"}},\"DetectedTimestamp\":\"2023-05-16T10:00:00Z\",\"FindingTypeDisplayName\":\"Salesforce User Sending Email with Different Email Address\",\"FindingTypeID\":\"a2790c4f-03f5-449f-b209-5f4447f417aa\",\"FindingTypeSeverity\":\"Medium\",\"InstanceID\":\"6b187be4-2dd5-42c5-a37b-111111111111\",\"IntegrationDisplayName\":\"Salesforce Testing\",\"IntegrationID\":\"c772678d-5cf1-4c73-bf3f-111111111111\",\"IntegrationPolicyVendor\":\"Salesforce Connection\"}",
"severity": 2,
"type": [
"access"
]
},
"input": {
"type": "http_endpoint"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-casb"
],
"url": {
"domain": "example.com",
"original": "https://example.com/resource",
"path": "/resource",
"scheme": "https"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.casb.asset.id |
此类型资产的唯一标识符。格式将因策略供应商而异。 |
关键字 |
cloudflare_logpush.casb.asset.metadata |
与资产关联的元数据。结构将因策略供应商而异。 |
已扁平化 |
cloudflare_logpush.casb.asset.name |
资产显示名称。 |
关键字 |
cloudflare_logpush.casb.asset.url |
资产的 URL。某些策略供应商和资产类型可能不提供此信息。 |
关键字 |
cloudflare_logpush.casb.finding.id |
Cloudflare 系统中发现项的 UUID。 |
关键字 |
cloudflare_logpush.casb.finding.type.id |
Cloudflare 系统中发现项类型的 UUID。 |
关键字 |
cloudflare_logpush.casb.finding.type.name |
发现项类型的人类可读名称。 |
关键字 |
cloudflare_logpush.casb.finding.type.severity |
发现项类型的严重性。 |
关键字 |
cloudflare_logpush.casb.integration.id |
Cloudflare 系统中集成的 UUID。 |
关键字 |
cloudflare_logpush.casb.integration.name |
集成的人类可读名称。 |
关键字 |
cloudflare_logpush.casb.integration.policy_vendor |
集成策略的人类可读供应商名称。 |
关键字 |
cloudflare_logpush.casb.timestamp |
首次识别发现项的日期和时间。 |
日期 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
device_posture
编辑这是 device_posture 数据集。
示例
device_posture 的一个示例事件如下所示
{
"@timestamp": "2023-05-17T12:00:00.000Z",
"agent": {
"ephemeral_id": "7f349992-1fc7-4534-b1c0-f21729fd96f7",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"device_posture": {
"eval": {
"expected": {
"operator": "==",
"os_distro_name": "ubuntu",
"os_distro_revision": "20.04",
"version": "5.15.0-1025-gcp"
},
"received": {
"operator": "==",
"os_distro_name": "ubuntu",
"os_distro_revision": "20.04",
"version": "5.15.0-1025-gcp"
},
"result": true
},
"host": {
"id": "083a8354-d56c-11ed-9771-111111111",
"manufacturer": "Google Compute Engine",
"model": "Google Compute Engine",
"name": "zt-test-vm1",
"os": {
"family": "linux",
"version": "5.15.0"
},
"serial": "GoogleCloud-ABCD1234567890"
},
"rule": {
"category": "os_version",
"id": "policy-abcdefgh",
"name": "Ubuntu"
},
"timestamp": "2023-05-17T12:00:00.000Z",
"user": {
"email": "[email protected]",
"id": "user-abcdefgh"
},
"version": "2023.3.258"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.device_posture",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"host"
],
"dataset": "cloudflare_logpush.device_posture",
"ingested": "2023-09-25T18:23:49Z",
"kind": "event",
"original": "{\"ClientVersion\":\"2023.3.258\",\"DeviceID\":\"083a8354-d56c-11ed-9771-111111111\",\"DeviceManufacturer\":\"Google Compute Engine\",\"DeviceModel\":\"Google Compute Engine\",\"DeviceName\":\"zt-test-vm1\",\"DeviceSerialNumber\":\"GoogleCloud-ABCD1234567890\",\"DeviceType\":\"linux\",\"Email\":\"[email protected]\",\"OSVersion\":\"5.15.0\",\"PolicyID\":\"policy-abcdefgh\",\"PostureCheckName\":\"Ubuntu\",\"PostureCheckType\":\"os_version\",\"PostureEvaluatedResult\":true,\"PostureExpectedJSON\":{\"operator\":\"==\",\"os_distro_name\":\"ubuntu\",\"os_distro_revision\":\"20.04\",\"version\":\"5.15.0-1025-gcp\"},\"PostureReceivedJSON\":{\"operator\":\"==\",\"os_distro_name\":\"ubuntu\",\"os_distro_revision\":\"20.04\",\"version\":\"5.15.0-1025-gcp\"},\"Timestamp\":\"2023-05-17T12:00:00Z\",\"UserUID\":\"user-abcdefgh\"}",
"outcome": "success",
"type": [
"info"
]
},
"host": {
"id": "083a8354-d56c-11ed-9771-111111111",
"name": "zt-test-vm1",
"os": {
"family": "linux",
"version": "5.15.0"
}
},
"input": {
"type": "http_endpoint"
},
"related": {
"hosts": [
"083a8354-d56c-11ed-9771-111111111",
"zt-test-vm1"
],
"user": [
"user-abcdefgh",
"[email protected]"
]
},
"rule": {
"category": "os_version",
"id": "policy-abcdefgh",
"name": "Ubuntu"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-device_posture"
],
"user": {
"email": "[email protected]",
"id": "user-abcdefgh"
},
"user_agent": {
"version": "2023.3.258"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.device_posture.eval.expected |
姿势检查期望从 Zero Trust 客户端获得的 JSON 对象。 |
已扁平化 |
cloudflare_logpush.device_posture.eval.received |
Zero Trust 客户端实际上传的 JSON 对象。 |
已扁平化 |
cloudflare_logpush.device_posture.eval.result |
根据时间戳的姿势检查要求,此姿势上传是否通过了相关的姿势检查。 |
布尔值 |
cloudflare_logpush.device_posture.host.id |
执行姿势上传的设备 ID。 |
关键字 |
cloudflare_logpush.device_posture.host.manufacturer |
运行 Zero Trust 客户端的设备的制造商。 |
关键字 |
cloudflare_logpush.device_posture.host.model |
运行 Zero Trust 客户端的设备的型号。 |
关键字 |
cloudflare_logpush.device_posture.host.name |
运行 Zero Trust 客户端的设备的名称。 |
关键字 |
cloudflare_logpush.device_posture.host.os.family |
Zero Trust 客户端操作系统类型。 |
关键字 |
cloudflare_logpush.device_posture.host.os.version |
上传时的操作系统版本。 |
关键字 |
cloudflare_logpush.device_posture.host.serial |
运行 Zero Trust 客户端的设备的序列号。 |
关键字 |
cloudflare_logpush.device_posture.rule.category |
Zero Trust 客户端检查或服务提供商检查的类型。 |
关键字 |
cloudflare_logpush.device_posture.rule.id |
与此设备姿势结果关联的姿势检查 ID。 |
关键字 |
cloudflare_logpush.device_posture.rule.name |
与此设备姿势结果关联的姿势检查的名称。 |
关键字 |
cloudflare_logpush.device_posture.timestamp |
执行相应设备姿势上传的日期和时间。 |
日期 |
cloudflare_logpush.device_posture.user.email |
用于在 Zero Trust 客户端上注册设备的电子邮件。 |
关键字 |
cloudflare_logpush.device_posture.user.id |
注册设备的用户 uid。 |
关键字 |
cloudflare_logpush.device_posture.version |
上传时的 Zero Trust 客户端版本。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
dns
编辑这是 dns 数据集。
示例
dns 的一个示例事件如下所示
{
"@timestamp": "2022-05-26T09:23:54.000Z",
"agent": {
"ephemeral_id": "24a14041-5e4e-4672-8f07-bae791d8c256",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"dns": {
"colo": {
"code": "MRS"
},
"edns": {
"subnet": "1.128.0.0",
"subnet_length": 0
},
"query": {
"name": "example.com",
"type": 65535
},
"response": {
"cached": false,
"code": 0
},
"source": {
"ip": "175.16.199.0"
},
"timestamp": "2022-05-26T09:23:54.000Z"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.dns",
"namespace": "ep",
"type": "logs"
},
"dns": {
"question": {
"name": "example.com"
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.dns",
"ingested": "2023-09-25T18:25:00Z",
"kind": "event",
"original": "{\"ColoCode\":\"MRS\",\"EDNSSubnet\":\"1.128.0.0\",\"EDNSSubnetLength\":0,\"QueryName\":\"example.com\",\"QueryType\":65535,\"ResponseCached\":false,\"ResponseCode\":0,\"SourceIP\":\"175.16.199.0\",\"Timestamp\":\"2022-05-26T09:23:54Z\"}",
"type": [
"info"
]
},
"input": {
"type": "http_endpoint"
},
"related": {
"ip": [
"175.16.199.0",
"1.128.0.0"
]
},
"source": {
"ip": "175.16.199.0"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-dns"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.dns.colo.code |
接收请求的数据中心的 IATA 机场代码。 |
关键字 |
cloudflare_logpush.dns.edns.subnet |
EDNS 客户端子网 (IPv4 或 IPv6)。 |
ip |
cloudflare_logpush.dns.edns.subnet_length |
EDNS 客户端子网长度。 |
长整型 |
cloudflare_logpush.dns.query.name |
发送的查询的名称。 |
关键字 |
cloudflare_logpush.dns.query.type |
查询类型的整数值。 |
长整型 |
cloudflare_logpush.dns.response.cached |
响应是否已缓存。 |
布尔值 |
cloudflare_logpush.dns.response.code |
响应代码的整数值。 |
长整型 |
cloudflare_logpush.dns.source.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
cloudflare_logpush.dns.timestamp |
发生查询的时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
dns_firewall
编辑这是 dns_firewall 数据集。
示例
dns_firewall 的一个示例事件如下所示
{
"@timestamp": "2023-09-19T12:30:00.000Z",
"agent": {
"ephemeral_id": "e6695261-9e3f-4227-aa72-baa589ec4eaf",
"id": "e0bfaeb7-64d9-40b9-8534-3d0e780f33cf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"dns_firewall": {
"cluster_id": "CLUSTER-001",
"colo": {
"code": "SFO"
},
"edns": {
"subnet": "67.43.156.0",
"subnet_length": 24
},
"question": {
"dnssec_ok": true,
"name": "example.com",
"recursion_desired": true,
"size": 60,
"tcp": false,
"type": 1
},
"response": {
"cached": true,
"cached_stale": false,
"code": "0"
},
"source": {
"ip": "67.43.156.2"
},
"timestamp": "2023-09-19T12:30:00.000Z",
"upstream": {
"ip": "81.2.69.144",
"response_code": "0",
"response_time_ms": 30
}
}
},
"data_stream": {
"dataset": "cloudflare_logpush.dns_firewall",
"namespace": "ep",
"type": "logs"
},
"dns": {
"question": {
"name": "example.com"
},
"response_code": "0"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e0bfaeb7-64d9-40b9-8534-3d0e780f33cf",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.dns_firewall",
"ingested": "2023-09-22T16:49:28Z",
"kind": "event",
"original": "{\"ClientResponseCode\":0,\"ClusterID\":\"CLUSTER-001\",\"ColoCode\":\"SFO\",\"EDNSSubnet\":\"67.43.156.0\",\"EDNSSubnetLength\":24,\"QueryDO\":true,\"QueryName\":\"example.com\",\"QueryRD\":true,\"QuerySize\":60,\"QueryTCP\":false,\"QueryType\":1,\"ResponseCached\":true,\"ResponseCachedStale\":false,\"SourceIP\":\"67.43.156.2\",\"Timestamp\":\"2023-09-19T12:30:00Z\",\"UpstreamIP\":\"81.2.69.144\",\"UpstreamResponseCode\":0,\"UpstreamResponseTimeMs\":30}",
"type": [
"info"
]
},
"input": {
"type": "http_endpoint"
},
"network": {
"transport": "udp"
},
"related": {
"ip": [
"67.43.156.2",
"67.43.156.0",
"81.2.69.144"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-dns_firewall"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.dns_firewall.cluster_id |
处理此请求的集群的 ID。 |
关键字 |
cloudflare_logpush.dns_firewall.colo.code |
接收请求的数据中心的 IATA 机场代码。 |
关键字 |
cloudflare_logpush.dns_firewall.edns.subnet |
EDNS 客户端子网 (IPv4 或 IPv6)。 |
ip |
cloudflare_logpush.dns_firewall.edns.subnet_length |
EDNS 客户端子网长度。 |
长整型 |
cloudflare_logpush.dns_firewall.question.dnssec_ok |
指示客户端是否能够处理签名响应(DNSSEC 回答 OK)。 |
布尔值 |
cloudflare_logpush.dns_firewall.question.name |
发送的查询的名称。 |
关键字 |
cloudflare_logpush.dns_firewall.question.recursion_desired |
指示客户端是否需要递归查询(需要递归)。 |
布尔值 |
cloudflare_logpush.dns_firewall.question.size |
客户端发送的查询大小(以字节为单位)。 |
长整型 |
cloudflare_logpush.dns_firewall.question.tcp |
指示客户端的查询是否通过 TCP 进行(如果为 false,则为 UDP)。 |
布尔值 |
cloudflare_logpush.dns_firewall.question.type |
查询类型的整数值。 |
长整型 |
cloudflare_logpush.dns_firewall.response.cached |
响应是否已缓存。 |
布尔值 |
cloudflare_logpush.dns_firewall.response.cached_stale |
指示响应是否为已缓存的过时响应。换句话说,TTL 已过期且无法访问上游名称服务器。 |
布尔值 |
cloudflare_logpush.dns_firewall.response.code |
DNS 响应代码。 |
关键字 |
cloudflare_logpush.dns_firewall.source.ip |
请求的源 IP 地址。 |
ip |
cloudflare_logpush.dns_firewall.timestamp |
发生查询的时间戳。 |
日期 |
cloudflare_logpush.dns_firewall.upstream.ip |
上游名称服务器的 IP(IPv4 或 IPv6)。 |
ip |
cloudflare_logpush.dns_firewall.upstream.response_code |
来自上游名称服务器的响应代码。 |
关键字 |
cloudflare_logpush.dns_firewall.upstream.response_time_ms |
上游响应时间(以毫秒为单位)。 |
长整型 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
firewall_event
编辑这是 firewall_event 数据集。
示例
firewall_event 的一个示例事件如下所示
{
"@timestamp": "2022-05-31T05:23:43.000Z",
"agent": {
"ephemeral_id": "2f35940d-740d-4aad-ad4b-6aeaf15c4f88",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"firewall_event": {
"action": "block",
"client": {
"asn": {
"description": "CLOUDFLARENET",
"value": 15169
},
"country": "us",
"ip": "175.16.199.0",
"ip_class": "searchEngine",
"referer": {
"host": "abc.example.com",
"path": "/abc/checkout",
"query": "?sourcerer=(default%3A(id%3A!n%2CselectedPatterns%3A!(eqldemo%2C%27logs-endpoint.*-eqldemo%27%2C%27logs-system.*-eqldemo%27%2C%27logs-windows.*-eqldemo%27%2Cmetricseqldemo)))&timerange=(global%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.199Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.200Z%27%2CtoStr%3Anow))%2Ctimeline%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.201Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.202Z%27%2CtoStr%3Anow)))",
"scheme": "referer URL scheme"
},
"request": {
"host": "xyz.example.com",
"method": "GET",
"path": "/abc/checkout",
"protocol": "HTTP/1.1",
"query": "?sourcerer=(default%3A(id%3A!n%2CselectedPatterns%3A!(eqldemo%2C%27logs-endpoint.*-eqldemo%27%2C%27logs-system.*-eqldemo%27%2C%27logs-windows.*-eqldemo%27%2Cmetricseqldemo)))&timerange=(global%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.199Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.200Z%27%2CtoStr%3Anow))%2Ctimeline%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.201Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.202Z%27%2CtoStr%3Anow)))",
"scheme": "https",
"user": {
"agent": "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
}
}
},
"edge": {
"colo": {
"code": "IAD"
},
"response": {
"status": 403
}
},
"kind": "firewall",
"match_index": 1,
"meta_data": {
"filter": "1ced07e066a34abf8b14f2a99593bc8d",
"type": "customer"
},
"origin": {
"ray": {
"id": "00"
},
"response": {
"status": 0
}
},
"ray": {
"id": "713d477539b55c29"
},
"rule": {
"id": "7dc666e026974dab84884c73b3e2afe1"
},
"source": "firewallrules",
"timestamp": "2022-05-31T05:23:43.000Z"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.firewall_event",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "block",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.firewall_event",
"ingested": "2023-09-25T18:26:12Z",
"kind": "event",
"original": "{\"Action\":\"block\",\"ClientASN\":15169,\"ClientASNDescription\":\"CLOUDFLARENET\",\"ClientCountry\":\"us\",\"ClientIP\":\"175.16.199.0\",\"ClientIPClass\":\"searchEngine\",\"ClientRefererHost\":\"abc.example.com\",\"ClientRefererPath\":\"/abc/checkout\",\"ClientRefererQuery\":\"?sourcerer=(default%3A(id%3A!n%2CselectedPatterns%3A!(eqldemo%2C%27logs-endpoint.*-eqldemo%27%2C%27logs-system.*-eqldemo%27%2C%27logs-windows.*-eqldemo%27%2Cmetricseqldemo)))\\u0026timerange=(global%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.199Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.200Z%27%2CtoStr%3Anow))%2Ctimeline%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.201Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.202Z%27%2CtoStr%3Anow)))\",\"ClientRefererScheme\":\"referer URL scheme\",\"ClientRequestHost\":\"xyz.example.com\",\"ClientRequestMethod\":\"GET\",\"ClientRequestPath\":\"/abc/checkout\",\"ClientRequestProtocol\":\"HTTP/1.1\",\"ClientRequestQuery\":\"?sourcerer=(default%3A(id%3A!n%2CselectedPatterns%3A!(eqldemo%2C%27logs-endpoint.*-eqldemo%27%2C%27logs-system.*-eqldemo%27%2C%27logs-windows.*-eqldemo%27%2Cmetricseqldemo)))\\u0026timerange=(global%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.199Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.200Z%27%2CtoStr%3Anow))%2Ctimeline%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.201Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.202Z%27%2CtoStr%3Anow)))\",\"ClientRequestScheme\":\"https\",\"ClientRequestUserAgent\":\"Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)\",\"Datetime\":\"2022-05-31T05:23:43Z\",\"EdgeColoCode\":\"IAD\",\"EdgeResponseStatus\":403,\"Kind\":\"firewall\",\"MatchIndex\":1,\"Metadata\":{\"filter\":\"1ced07e066a34abf8b14f2a99593bc8d\",\"type\":\"customer\"},\"OriginResponseStatus\":0,\"OriginatorRayID\":\"00\",\"RayID\":\"713d477539b55c29\",\"RuleID\":\"7dc666e026974dab84884c73b3e2afe1\",\"Source\":\"firewallrules\"}",
"type": [
"info"
]
},
"http": {
"request": {
"method": "GET"
},
"response": {
"status_code": 403
},
"version": "1.1"
},
"input": {
"type": "http_endpoint"
},
"network": {
"protocol": "http"
},
"related": {
"hosts": [
"abc.example.com",
"xyz.example.com"
],
"ip": [
"175.16.199.0"
]
},
"rule": {
"id": "7dc666e026974dab84884c73b3e2afe1"
},
"source": {
"as": {
"number": 15169
},
"geo": {
"country_iso_code": "us"
},
"ip": "175.16.199.0"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-firewall_event"
],
"url": {
"domain": "xyz.example.com",
"path": "/abc/checkout",
"query": "sourcerer=(default%3A(id%3A!n%2CselectedPatterns%3A!(eqldemo%2C%27logs-endpoint.*-eqldemo%27%2C%27logs-system.*-eqldemo%27%2C%27logs-windows.*-eqldemo%27%2Cmetricseqldemo)))&timerange=(global%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.199Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.200Z%27%2CtoStr%3Anow))%2Ctimeline%3A(linkTo%3A!()%2Ctimerange%3A(from%3A%272022-04-05T00%3A00%3A01.201Z%27%2CfromStr%3Anow-24h%2Ckind%3Arelative%2Cto%3A%272022-04-06T00%3A00%3A01.202Z%27%2CtoStr%3Anow)))",
"scheme": "https"
},
"user_agent": {
"device": {
"name": "Spider"
},
"name": "Googlebot",
"original": "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)",
"os": {
"full": "Android 6.0.1",
"name": "Android",
"version": "6.0.1"
},
"version": "2.1"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.firewall_event.action |
Cloudflare 防火墙对此请求执行的一级操作的代码。 |
关键字 |
cloudflare_logpush.firewall_event.client.asn.description |
访问者的 ASN(字符串)。 |
关键字 |
cloudflare_logpush.firewall_event.client.asn.value |
访问者的 ASN 号码。 |
长整型 |
cloudflare_logpush.firewall_event.client.country |
请求的来源国家/地区。 |
关键字 |
cloudflare_logpush.firewall_event.client.ip |
访客 IP 地址(IPv4 或 IPv6)。 |
ip |
cloudflare_logpush.firewall_event.client.ip_class |
访客 IP 地址的分类,可能的值包括:- unknown、badHost、searchEngine、allowlist、monitoringService、noRecord、scan 和 tor。 |
关键字 |
cloudflare_logpush.firewall_event.client.referer.host |
引荐来源主机。 |
关键字 |
cloudflare_logpush.firewall_event.client.referer.path |
访客请求的引荐来源路径。 |
文本 |
cloudflare_logpush.firewall_event.client.referer.query |
访客请求的引荐来源查询字符串。 |
关键字 |
cloudflare_logpush.firewall_event.client.referer.scheme |
访客请求的引荐来源 URL 方案。 |
文本 |
cloudflare_logpush.firewall_event.client.request.host |
访客请求的 HTTP 主机名。 |
关键字 |
cloudflare_logpush.firewall_event.client.request.method |
访客使用的 HTTP 方法。 |
关键字 |
cloudflare_logpush.firewall_event.client.request.path |
访客请求的路径。 |
文本 |
cloudflare_logpush.firewall_event.client.request.protocol |
访客请求的 HTTP 协议版本。 |
关键字 |
cloudflare_logpush.firewall_event.client.request.query |
访客请求的查询字符串。 |
关键字 |
cloudflare_logpush.firewall_event.client.request.scheme |
访客请求的 URL 方案。 |
文本 |
cloudflare_logpush.firewall_event.client.request.user.agent |
访客的用户代理字符串。 |
文本 |
cloudflare_logpush.firewall_event.edge.colo.code |
为该请求提供服务的 Cloudflare 数据中心的机场代码。 |
关键字 |
cloudflare_logpush.firewall_event.edge.response.status |
返回给浏览器的 HTTP 响应状态代码。 |
长整型 |
cloudflare_logpush.firewall_event.kind |
事件的类型,目前仅可能的值包括:。 |
关键字 |
cloudflare_logpush.firewall_event.match_index |
链中的规则匹配索引。 |
长整型 |
cloudflare_logpush.firewall_event.meta_data |
其他特定于产品的信息。 |
已扁平化 |
cloudflare_logpush.firewall_event.origin.ray.id |
返回给浏览器的 HTTP 原始响应状态代码。 |
关键字 |
cloudflare_logpush.firewall_event.origin.response.status |
发出挑战/jschallenge 的请求的 RayID。 |
长整型 |
cloudflare_logpush.firewall_event.ray.id |
请求的 RayID。 |
关键字 |
cloudflare_logpush.firewall_event.rule.id |
此请求触发的 Cloudflare 安全产品特定的 RuleID。 |
关键字 |
cloudflare_logpush.firewall_event.source |
此请求触发的 Cloudflare 安全产品。 |
关键字 |
cloudflare_logpush.firewall_event.timestamp |
事件发生在边缘的日期和时间。 |
日期 |
cloudflare_logpush.firewall_event.zone.name |
该区域的人类可读名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
gateway_dns
编辑这是 gateway_dns 数据集。
示例
以下是 gateway_dns 的示例事件
{
"@timestamp": "2023-05-02T22:49:53.000Z",
"agent": {
"ephemeral_id": "0cef9353-54fd-4ab8-bbfe-03d3e1008dcc",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"gateway_dns": {
"answers": [
{
"data": "CHNlY3VyaXR5BnVidW50dQMjb20AAAEAAQAAAAgABLl9vic=",
"type": "1"
},
{
"data": "CHNlY3VyaXR5BnVidW50dQNjb20AAAEAABAAAAgABLl9viQ=",
"type": "1"
},
{
"data": "CHNlT3VyaXR5BnVidW50dQNjb20AAAEAAQAAAAgABFu9Wyc=",
"type": "1"
}
],
"application_id": 0,
"colo": {
"code": "ORD",
"id": 14
},
"destination": {
"ip": "89.160.20.129",
"port": 443
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b111aaa",
"name": "zt-test-vm1"
},
"location": {
"id": "f233bd67-78c7-4050-9aff-ad63cce25732",
"name": "GCP default"
},
"matched": {
"category": {
"ids": [
7,
163
],
"names": [
"Photography",
"Weather"
]
}
},
"policy": {
"id": "1412",
"name": "7bdc7a9c-81d3-4816-8e56-de1acad3dec5"
},
"protocol": "https",
"question": {
"category": {
"ids": [
26,
155
],
"names": [
"Technology",
"Technology"
]
},
"name": "security.ubuntu.com",
"reversed": "com.ubuntu.security",
"size": 48,
"type": "A",
"type_id": 1
},
"resolved_ip": [
"67.43.156.1",
"67.43.156.2",
"67.43.156.3"
],
"resolver_decision": "allowedOnNoPolicyMatch",
"response_code": "0",
"source": {
"ip": "67.43.156.2",
"port": 0
},
"timestamp": "2023-05-02T22:49:53.000Z",
"timezone": "UTC",
"timezone_inferred_method": "fromLocalTime",
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245000000"
}
}
},
"data_stream": {
"dataset": "cloudflare_logpush.gateway_dns",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129",
"port": 443
},
"dns": {
"answers": [
{
"data": "CHNlY3VyaXR5BnVidW50dQMjb20AAAEAAQAAAAgABLl9vic=",
"type": "1"
},
{
"data": "CHNlY3VyaXR5BnVidW50dQNjb20AAAEAABAAAAgABLl9viQ=",
"type": "1"
},
{
"data": "CHNlT3VyaXR5BnVidW50dQNjb20AAAEAAQAAAAgABFu9Wyc=",
"type": "1"
}
],
"question": {
"name": "security.ubuntu.com",
"type": "A"
},
"resolved_ip": [
"67.43.156.1",
"67.43.156.2",
"67.43.156.3"
],
"response_code": "0"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.gateway_dns",
"ingested": "2023-09-25T18:27:21Z",
"kind": "event",
"original": "{\"ApplicationID\":0,\"ColoCode\":\"ORD\",\"ColoID\":14,\"Datetime\":\"2023-05-02T22:49:53Z\",\"DeviceID\":\"083a8354-d56c-11ed-9771-6a842b111aaa\",\"DeviceName\":\"zt-test-vm1\",\"DstIP\":\"89.160.20.129\",\"DstPort\":443,\"Email\":\"[email protected]\",\"Location\":\"GCP default\",\"LocationID\":\"f233bd67-78c7-4050-9aff-ad63cce25732\",\"MatchedCategoryIDs\":[7,163],\"MatchedCategoryNames\":[\"Photography\",\"Weather\"],\"Policy\":\"7bdc7a9c-81d3-4816-8e56-de1acad3dec5\",\"PolicyID\":\"1412\",\"Protocol\":\"https\",\"QueryCategoryIDs\":[26,155],\"QueryCategoryNames\":[\"Technology\",\"Technology\"],\"QueryName\":\"security.ubuntu.com\",\"QueryNameReversed\":\"com.ubuntu.security\",\"QuerySize\":48,\"QueryType\":1,\"QueryTypeName\":\"A\",\"RCode\":0,\"RData\":[{\"data\":\"CHNlY3VyaXR5BnVidW50dQMjb20AAAEAAQAAAAgABLl9vic=\",\"type\":\"1\"},{\"data\":\"CHNlY3VyaXR5BnVidW50dQNjb20AAAEAABAAAAgABLl9viQ=\",\"type\":\"1\"},{\"data\":\"CHNlT3VyaXR5BnVidW50dQNjb20AAAEAAQAAAAgABFu9Wyc=\",\"type\":\"1\"}],\"ResolvedIPs\":[\"67.43.156.1\",\"67.43.156.2\",\"67.43.156.3\"],\"ResolverDecision\":\"allowedOnNoPolicyMatch\",\"SrcIP\":\"67.43.156.2\",\"SrcPort\":0,\"TimeZone\":\"UTC\",\"TimeZoneInferredMethod\":\"fromLocalTime\",\"UserID\":\"166befbb-00e3-5e20-bd6e-27245000000\"}",
"outcome": "success",
"timezone": "UTC",
"type": [
"info"
]
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b111aaa",
"name": "zt-test-vm1"
},
"input": {
"type": "http_endpoint"
},
"network": {
"protocol": "https"
},
"related": {
"hosts": [
"083a8354-d56c-11ed-9771-6a842b111aaa",
"zt-test-vm1"
],
"ip": [
"67.43.156.2",
"89.160.20.129"
],
"user": [
"166befbb-00e3-5e20-bd6e-27245000000",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2",
"port": 0
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-gateway_dns"
],
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245000000"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.gateway_dns.answers |
响应数据对象。 |
已扁平化 |
cloudflare_logpush.gateway_dns.application_id |
域名所属的应用程序 ID。 |
长整型 |
cloudflare_logpush.gateway_dns.colo.code |
接收 DNS 查询的 colo 的名称。 |
关键字 |
cloudflare_logpush.gateway_dns.colo.id |
接收 DNS 查询的 colo 的 ID。 |
长整型 |
cloudflare_logpush.gateway_dns.destination.ip |
发出 DNS 查询的目标 IP 地址。 |
ip |
cloudflare_logpush.gateway_dns.destination.port |
在边缘使用的目标端口。端口会根据 DNS 查询使用的协议而变化。 |
长整型 |
cloudflare_logpush.gateway_dns.host.id |
发起 HTTP 请求的设备的 UUID。 |
关键字 |
cloudflare_logpush.gateway_dns.host.name |
发起 HTTP 请求的设备的名称。 |
关键字 |
cloudflare_logpush.gateway_dns.location.id |
发出 DNS 请求的位置的 UUID。 |
关键字 |
cloudflare_logpush.gateway_dns.location.name |
发出 DNS 请求的位置的名称。 |
关键字 |
cloudflare_logpush.gateway_dns.matched.category.ids |
域名与策略匹配的类别 ID 或多个 ID。 |
长整型 |
cloudflare_logpush.gateway_dns.matched.category.names |
域名与策略匹配的类别名称或多个名称。 |
关键字 |
cloudflare_logpush.gateway_dns.policy.id |
应用的策略/规则的 ID(如果有)。 |
关键字 |
cloudflare_logpush.gateway_dns.policy.name |
应用的策略名称(如果有)。 |
关键字 |
cloudflare_logpush.gateway_dns.protocol |
客户端用于 DNS 查询的协议。 |
关键字 |
cloudflare_logpush.gateway_dns.question.category.ids |
域名所属的类别 ID 或多个 ID。 |
长整型 |
cloudflare_logpush.gateway_dns.question.category.names |
域名所属的类别名称或多个名称。 |
关键字 |
cloudflare_logpush.gateway_dns.question.name |
查询名称。 |
关键字 |
cloudflare_logpush.gateway_dns.question.reversed |
反向查询名称。 |
关键字 |
cloudflare_logpush.gateway_dns.question.size |
DNS 请求的大小(以字节为单位)。 |
长整型 |
cloudflare_logpush.gateway_dns.question.type |
DNS 查询的类型。 |
关键字 |
cloudflare_logpush.gateway_dns.question.type_id |
DNS 查询类型的 ID。 |
长整型 |
cloudflare_logpush.gateway_dns.resolved_ip |
响应中已解析的 IP(如果有)。 |
ip |
cloudflare_logpush.gateway_dns.resolver_decision |
DNS 查询的结果。 |
关键字 |
cloudflare_logpush.gateway_dns.response_code |
DNS 解析器发回的返回代码。 |
关键字 |
cloudflare_logpush.gateway_dns.source.ip |
发出 DNS 查询的源 IP 地址。 |
ip |
cloudflare_logpush.gateway_dns.source.port |
客户端发送 DNS 请求时使用的端口。 |
长整型 |
cloudflare_logpush.gateway_dns.timestamp |
发出相应 DNS 请求的日期和时间。 |
日期 |
cloudflare_logpush.gateway_dns.timezone |
用于计算当前时区的时间,如果匹配的规则使用该时区进行调度。 |
关键字 |
cloudflare_logpush.gateway_dns.timezone_inferred_method |
用于为计划选择时区的方法。 |
关键字 |
cloudflare_logpush.gateway_dns.user.email |
用于对客户端进行身份验证的电子邮件。 |
关键字 |
cloudflare_logpush.gateway_dns.user.id |
发起 HTTP 请求的用户身份。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
gateway_http
编辑这是 gateway_http 数据集。
示例
以下是 gateway_http 的示例事件
{
"@timestamp": "2023-05-03T20:55:05.000Z",
"agent": {
"ephemeral_id": "5ef7d2c2-29af-4ce4-a6db-d70e56392d6f",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"gateway_http": {
"account_id": "e1836771179f98aabb828da5ea69a348",
"action": "block",
"blocked_file": {
"hash": "91dc1db739a705105e1c763bfdbdaa84c0de8",
"name": "downloaded_test",
"reason": "malware",
"size": 43,
"type": "bin"
},
"destination": {
"ip": "89.160.20.129",
"port": 443
},
"downloaded_files": [
"downloaded_file",
"downloaded_test"
],
"file_info": {
"files": [
{
"name": "downloaded_file",
"size": 43
},
{
"name": "downloaded_test",
"size": 341
}
]
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b100cff",
"name": "zt-test-vm1"
},
"isolated": false,
"policy": {
"id": "85063bec-74cb-4546-85a3-e0cde2cdfda2",
"name": "Block Yahoo"
},
"request": {
"host": "guce.yahoo.com",
"method": "GET",
"referrer": "https://www.example.com/",
"version": "HTTP/2"
},
"request_id": "1884fec9b600007fb06a299400000001",
"response": {
"status_code": 302
},
"source": {
"internal_ip": "192.168.1.123",
"ip": "67.43.156.2",
"port": 47924
},
"timestamp": "2023-05-03T20:55:05.000Z",
"untrusted_certificate_action": "none",
"uploaded_files": [
"uploaded_file",
"uploaded_test"
],
"url": "https://test.com",
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245723949f"
},
"user_agent": "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) Firefox/112.0"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.gateway_http",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129",
"port": 443
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "block",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.gateway_http",
"ingested": "2023-09-25T18:28:32Z",
"kind": "event",
"original": "{\"AccountID\":\"e1836771179f98aabb828da5ea69a348\",\"Action\":\"block\",\"BlockedFileHash\":\"91dc1db739a705105e1c763bfdbdaa84c0de8\",\"BlockedFileName\":\"downloaded_test\",\"BlockedFileReason\":\"malware\",\"BlockedFileSize\":43,\"BlockedFileType\":\"bin\",\"Datetime\":\"2023-05-03T20:55:05Z\",\"DestinationIP\":\"89.160.20.129\",\"DestinationPort\":443,\"DeviceID\":\"083a8354-d56c-11ed-9771-6a842b100cff\",\"DeviceName\":\"zt-test-vm1\",\"DownloadedFileNames\":[\"downloaded_file\",\"downloaded_test\"],\"Email\":\"[email protected]\",\"FileInfo\":{\"files\":[{\"name\":\"downloaded_file\",\"size\":43},{\"name\":\"downloaded_test\",\"size\":341}]},\"HTTPHost\":\"guce.yahoo.com\",\"HTTPMethod\":\"GET\",\"HTTPStatusCode\":302,\"HTTPVersion\":\"HTTP/2\",\"IsIsolated\":false,\"PolicyID\":\"85063bec-74cb-4546-85a3-e0cde2cdfda2\",\"PolicyName\":\"Block Yahoo\",\"Referer\":\"https://www.example.com/\",\"RequestID\":\"1884fec9b600007fb06a299400000001\",\"SourceIP\":\"67.43.156.2\",\"SourceInternalIP\":\"192.168.1.123\",\"SourcePort\":47924,\"URL\":\"https://test.com\",\"UntrustedCertificateAction\":\"none\",\"UploadedFileNames\":[\"uploaded_file\",\"uploaded_test\"],\"UserAgent\":\"Mozilla/5.0 (X11; Ubuntu; Linux x86_64) Firefox/112.0\",\"UserID\":\"166befbb-00e3-5e20-bd6e-27245723949f\"}",
"type": [
"info",
"denied"
]
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b100cff",
"name": "zt-test-vm1"
},
"http": {
"request": {
"method": "GET",
"referrer": "https://www.example.com/"
},
"response": {
"status_code": 302
},
"version": "HTTP/2"
},
"input": {
"type": "http_endpoint"
},
"related": {
"hosts": [
"083a8354-d56c-11ed-9771-6a842b100cff",
"zt-test-vm1"
],
"ip": [
"67.43.156.2",
"89.160.20.129"
],
"user": [
"166befbb-00e3-5e20-bd6e-27245723949f",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2",
"port": 47924
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-gateway_http"
],
"url": {
"domain": "test.com",
"original": "https://test.com",
"scheme": "https"
},
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245723949f"
},
"user_agent": {
"original": "Mozilla/5.0 (X11; Ubuntu; Linux x86_64) Firefox/112.0"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.gateway_http.account_id |
Cloudflare 帐户标签。 |
关键字 |
cloudflare_logpush.gateway_http.action |
网关对 HTTP 请求执行的操作。 |
关键字 |
cloudflare_logpush.gateway_http.blocked_file.hash |
响应中阻止的文件的哈希值(如果有)。 |
关键字 |
cloudflare_logpush.gateway_http.blocked_file.name |
请求中阻止的文件名(如果有)。 |
关键字 |
cloudflare_logpush.gateway_http.blocked_file.reason |
响应中文件被阻止的原因(如果有)。 |
关键字 |
cloudflare_logpush.gateway_http.blocked_file.size |
响应中阻止的文件大小(以字节为单位)(如果有)。 |
长整型 |
cloudflare_logpush.gateway_http.blocked_file.type |
响应中阻止的文件类型,例如 exe、bin(如果有)。 |
关键字 |
cloudflare_logpush.gateway_http.destination.ip |
请求的目标 IP。 |
ip |
cloudflare_logpush.gateway_http.destination.port |
请求的目标端口。 |
长整型 |
cloudflare_logpush.gateway_http.downloaded_files |
HTTP 请求中下载的文件列表。 |
关键字 |
cloudflare_logpush.gateway_http.file_info |
有关 HTTP 请求中检测到的文件的信息。 |
已扁平化 |
cloudflare_logpush.gateway_http.host.id |
发起 HTTP 请求的设备的 UUID。 |
关键字 |
cloudflare_logpush.gateway_http.host.name |
发起 HTTP 请求的设备的名称。 |
关键字 |
cloudflare_logpush.gateway_http.isolated |
请求是否使用 Cloudflare 浏览器隔离隔离。 |
布尔值 |
cloudflare_logpush.gateway_http.policy.id |
应用于请求的网关策略 UUID(如果有)。 |
关键字 |
cloudflare_logpush.gateway_http.policy.name |
应用于请求的网关策略名称(如果有)。 |
关键字 |
cloudflare_logpush.gateway_http.request.host |
HTTP 请求中主机标头的内容。 |
关键字 |
cloudflare_logpush.gateway_http.request.method |
HTTP 请求方法。 |
关键字 |
cloudflare_logpush.gateway_http.request.referrer |
HTTP 请求中引荐来源标头的内容。 |
关键字 |
cloudflare_logpush.gateway_http.request.version |
HTTP 请求的版本名称。 |
关键字 |
cloudflare_logpush.gateway_http.request_id |
Cloudflare 请求 ID。 |
关键字 |
cloudflare_logpush.gateway_http.response.status_code |
网关返回给用户的 HTTP 状态代码。如果没有返回任何内容,则为零。 |
长整型 |
cloudflare_logpush.gateway_http.source.internal_ip |
设备的本地 LAN IP。仅当通过 GRE/IPsec 隧道入口连接时可用。 |
ip |
cloudflare_logpush.gateway_http.source.ip |
请求的源 IP。 |
ip |
cloudflare_logpush.gateway_http.source.port |
请求的源端口。 |
长整型 |
cloudflare_logpush.gateway_http.timestamp |
发出相应 HTTP 请求的日期和时间。 |
日期 |
cloudflare_logpush.gateway_http.untrusted_certificate_action |
发生不受信任的原始证书错误时采取的操作。 |
关键字 |
cloudflare_logpush.gateway_http.uploaded_files |
HTTP 请求中上传的文件列表。 |
关键字 |
cloudflare_logpush.gateway_http.url |
HTTP 请求 URL。 |
关键字 |
cloudflare_logpush.gateway_http.user.email |
用于对客户端进行身份验证的电子邮件。 |
关键字 |
cloudflare_logpush.gateway_http.user.id |
发起 HTTP 请求的用户身份。 |
关键字 |
cloudflare_logpush.gateway_http.user_agent |
HTTP 请求中用户代理标头的内容。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
gateway_network
编辑这是 gateway_network 数据集。
示例
以下是 gateway_network 的示例事件
{
"@timestamp": "2023-05-18T21:12:57.058Z",
"agent": {
"ephemeral_id": "00d9ce66-1b7c-4c46-b58d-81ba1d2bbd4b",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"gateway_network": {
"account_id": "e1836771179f98aabb828da5ea69a111",
"action": "allowedOnNoRuleMatch",
"destination": {
"ip": "89.160.20.129",
"port": 443
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b100cff",
"name": "zt-test-vm1"
},
"override": {
"ip": "175.16.199.4",
"port": 8080
},
"policy": {
"id": "85063bec-74cb-4546-85a3-e0cde2cdfda2",
"name": "My policy"
},
"session_id": "5f2d04be-3512-11e8-b467-0ed5f89f718b",
"sni": "www.elastic.co",
"source": {
"internal_ip": "192.168.1.3",
"ip": "67.43.156.2",
"port": 47924
},
"timestamp": "2023-05-18T21:12:57.058Z",
"transport": "tcp",
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245723949f"
}
}
},
"data_stream": {
"dataset": "cloudflare_logpush.gateway_network",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"domain": "www.elastic.co",
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129",
"port": 443
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "allowedOnNoRuleMatch",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.gateway_network",
"id": "5f2d04be-3512-11e8-b467-0ed5f89f718b",
"ingested": "2023-09-25T18:29:43Z",
"kind": "event",
"original": "{\"AccountID\":\"e1836771179f98aabb828da5ea69a111\",\"Action\":\"allowedOnNoRuleMatch\",\"Datetime\":1684444377058000000,\"DestinationIP\":\"89.160.20.129\",\"DestinationPort\":443,\"DeviceID\":\"083a8354-d56c-11ed-9771-6a842b100cff\",\"DeviceName\":\"zt-test-vm1\",\"Email\":\"[email protected]\",\"OverrideIP\":\"175.16.199.4\",\"OverridePort\":8080,\"PolicyID\":\"85063bec-74cb-4546-85a3-e0cde2cdfda2\",\"PolicyName\":\"My policy\",\"SNI\":\"www.elastic.co\",\"SessionID\":\"5f2d04be-3512-11e8-b467-0ed5f89f718b\",\"SourceIP\":\"67.43.156.2\",\"SourceInternalIP\":\"192.168.1.3\",\"SourcePort\":47924,\"Transport\":\"tcp\",\"UserID\":\"166befbb-00e3-5e20-bd6e-27245723949f\"}",
"type": [
"info"
]
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b100cff",
"name": "zt-test-vm1"
},
"input": {
"type": "http_endpoint"
},
"network": {
"transport": "tcp"
},
"related": {
"hosts": [
"www.elastic.co",
"083a8354-d56c-11ed-9771-6a842b100cff",
"zt-test-vm1"
],
"ip": [
"67.43.156.2",
"89.160.20.129",
"175.16.199.4"
],
"user": [
"166befbb-00e3-5e20-bd6e-27245723949f",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2",
"port": 47924
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-gateway_network"
],
"tls": {
"client": {
"server_name": "www.elastic.co"
}
},
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245723949f"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.gateway_network.account_id |
Cloudflare 帐户标签。 |
关键字 |
cloudflare_logpush.gateway_network.action |
网关对会话执行的操作。 |
关键字 |
cloudflare_logpush.gateway_network.destination.ip |
网络会话的目标 IP。 |
ip |
cloudflare_logpush.gateway_network.destination.port |
网络会话的目标端口。 |
长整型 |
cloudflare_logpush.gateway_network.host.id |
发起网络会话的设备的 UUID。 |
关键字 |
cloudflare_logpush.gateway_network.host.name |
发起网络会话的设备的名称。 |
关键字 |
cloudflare_logpush.gateway_network.override.ip |
网络会话的覆盖 IP(如果有)。 |
ip |
cloudflare_logpush.gateway_network.override.port |
网络会话的覆盖端口(如果有)。 |
长整型 |
cloudflare_logpush.gateway_network.policy.id |
应用的策略/规则的标识符(如果有)。 |
关键字 |
cloudflare_logpush.gateway_network.policy.name |
应用于会话的网关策略名称(如果有)。 |
关键字 |
cloudflare_logpush.gateway_network.session_id |
此网络会话的会话标识符。 |
关键字 |
cloudflare_logpush.gateway_network.sni |
TLS 网络会话的 SNI(服务器名称指示)内容(如果有)。 |
关键字 |
cloudflare_logpush.gateway_network.source.internal_ip |
设备的本地 LAN IP。仅当通过 GRE/IPsec 隧道入口连接时可用。 |
ip |
cloudflare_logpush.gateway_network.source.ip |
网络会话的源 IP。 |
ip |
cloudflare_logpush.gateway_network.source.port |
网络会话的源端口。 |
长整型 |
cloudflare_logpush.gateway_network.timestamp |
发出相应网络会话的日期和时间。 |
日期 |
cloudflare_logpush.gateway_network.transport |
此会话使用的传输协议。 |
关键字 |
cloudflare_logpush.gateway_network.user.email |
与发起网络会话的用户身份关联的电子邮件。 |
关键字 |
cloudflare_logpush.gateway_network.user.id |
发起网络会话的用户身份。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
http_request
编辑这是 http_request 数据集。
示例
以下是 http_request 的示例事件
{
"@timestamp": "2022-05-25T13:25:26.000Z",
"agent": {
"ephemeral_id": "f46d0281-0e61-49bc-b3c5-8e3012a99b88",
"id": "28ee66ab-2bea-4ee9-9e9f-0f897fd4dd7d",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.2"
},
"cloudflare_logpush": {
"http_request": {
"bot": {
"detection_ids": [
7,
8,
9
],
"score": {
"src": "Verified Bot",
"value": 20
},
"tag": [
"bing",
"api"
]
},
"cache": {
"response": {
"bytes": 983828,
"status": 200
},
"status": "dynamic",
"tiered_fill": false
},
"client": {
"asn": 43766,
"country": "sa",
"device": {
"type": "desktop"
},
"ip": "175.16.199.0",
"ip_class": "noRecord",
"mtls": {
"auth": {
"fingerprint": "Fingerprint",
"status": "unknown"
}
},
"request": {
"bytes": 5800,
"host": "xyz.example.com",
"method": "POST",
"path": "/xyz/checkout",
"protocol": "HTTP/1.1",
"referer": "https://example.com/s/example/default?sourcerer=(default:(id:!n,selectedPatterns:!(example,%27logs-endpoint.*-example%27,%27logs-system.*-example%27,%27logs-windows.*-example%27)))&timerange=(global:(linkTo:!(),timerange:(from:%272022-05-16T06:26:36.340Z%27,fromStr:now-24h,kind:relative,to:%272022-05-17T06:26:36.340Z%27,toStr:now)),timeline:(linkTo:!(),timerange:(from:%272022-04-17T22:00:00.000Z%27,kind:absolute,to:%272022-04-18T21:59:59.999Z%27)))&timeline=(activeTab:notes,graphEventId:%27%27,id:%279844bdd4-4dd6-5b22-ab40-3cd46fce8d6b%27,isOpen:!t)",
"scheme": "https",
"source": "edgeWorkerFetch",
"uri": "/s/example/api/telemetry/v2/clusters/_stats",
"user": {
"agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
}
},
"src": {
"port": 0
},
"ssl": {
"cipher": "NONE",
"protocol": "TLSv1.2"
},
"tcp_rtt": {
"ms": 0
},
"xrequested_with": "Request With"
},
"cookies": {
"key": "value"
},
"edge": {
"cf_connecting_o2o": false,
"colo": {
"code": "RUH",
"id": 339
},
"end_time": "2022-05-25T13:25:32.000Z",
"pathing": {
"op": "wl",
"src": "macro",
"status": "nr"
},
"rate": {
"limit": {
"action": "unknown",
"id": 0
}
},
"request": {
"host": "abc.example.com"
},
"response": {
"body_bytes": 980397,
"bytes": 981308,
"compression_ratio": 0,
"content_type": "application/json",
"status": 200
},
"server": {
"ip": "1.128.0.0"
},
"start_time": "2022-05-25T13:25:26.000Z",
"time_to_first_byte": {
"ms": 5333
}
},
"origin": {
"dns_response_time": {
"ms": 3
},
"ip": "67.43.156.0",
"request_header_send_duration": {
"ms": 0
},
"response": {
"bytes": 0,
"duration": {
"ms": 5319
},
"header_receive_duration": {
"ms": 5155
},
"http": {
"expires": "2022-05-27T13:25:26.000Z",
"last_modified": "2022-05-26T13:25:26.000Z"
},
"status": 200,
"time": 5232000000
},
"ssl_protocol": "TLSv1.2",
"tcp_handshake_duration": {
"ms": 24
},
"tls_handshake_duration": {
"ms": 53
}
},
"parent_ray": {
"id": "710e98d93d50357d"
},
"ray": {
"id": "710e98d9367f357d"
},
"security_level": "off",
"smart_route": {
"colo": {
"id": 20
}
},
"upper_tier": {
"colo": {
"id": 0
}
},
"waf": {
"action": "unknown",
"flag": "0",
"matched_var": "example",
"profile": "unknown",
"rule": {
"id": "98d93d5",
"message": "matchad variable message"
},
"score": {
"global": 50,
"rce": 1,
"sqli": 99,
"xss": 90
}
},
"worker": {
"cpu_time": 0,
"status": "unknown",
"subrequest": {
"count": 0,
"value": true
}
},
"zone": {
"id": 393347122,
"name": "example.com"
}
}
},
"data_stream": {
"dataset": "cloudflare_logpush.http_request",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": "67.43.156.0"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "28ee66ab-2bea-4ee9-9e9f-0f897fd4dd7d",
"snapshot": false,
"version": "8.13.2"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.http_request",
"ingested": "2024-05-07T12:57:59Z",
"kind": "event",
"original": "{\"BotDetectionIDs\":[7,8,9],\"BotScore\":20,\"BotScoreSrc\":\"Verified Bot\",\"BotTags\":[\"bing\",\"api\"],\"CacheCacheStatus\":\"dynamic\",\"CacheResponseBytes\":983828,\"CacheResponseStatus\":200,\"CacheTieredFill\":false,\"ClientASN\":43766,\"ClientCountry\":\"sa\",\"ClientDeviceType\":\"desktop\",\"ClientIP\":\"175.16.199.0\",\"ClientIPClass\":\"noRecord\",\"ClientMTLSAuthCertFingerprint\":\"Fingerprint\",\"ClientMTLSAuthStatus\":\"unknown\",\"ClientRequestBytes\":5800,\"ClientRequestHost\":\"xyz.example.com\",\"ClientRequestMethod\":\"POST\",\"ClientRequestPath\":\"/xyz/checkout\",\"ClientRequestProtocol\":\"HTTP/1.1\",\"ClientRequestReferer\":\"https://example.com/s/example/default?sourcerer=(default:(id:!n,selectedPatterns:!(example,%27logs-endpoint.*-example%27,%27logs-system.*-example%27,%27logs-windows.*-example%27)))\\u0026timerange=(global:(linkTo:!(),timerange:(from:%272022-05-16T06:26:36.340Z%27,fromStr:now-24h,kind:relative,to:%272022-05-17T06:26:36.340Z%27,toStr:now)),timeline:(linkTo:!(),timerange:(from:%272022-04-17T22:00:00.000Z%27,kind:absolute,to:%272022-04-18T21:59:59.999Z%27)))\\u0026timeline=(activeTab:notes,graphEventId:%27%27,id:%279844bdd4-4dd6-5b22-ab40-3cd46fce8d6b%27,isOpen:!t)\",\"ClientRequestScheme\":\"https\",\"ClientRequestSource\":\"edgeWorkerFetch\",\"ClientRequestURI\":\"/s/example/api/telemetry/v2/clusters/_stats\",\"ClientRequestUserAgent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36\",\"ClientSSLCipher\":\"NONE\",\"ClientSSLProtocol\":\"TLSv1.2\",\"ClientSrcPort\":0,\"ClientTCPRTTMs\":0,\"ClientXRequestedWith\":\"Request With\",\"Cookies\":{\"key\":\"value\"},\"EdgeCFConnectingO2O\":false,\"EdgeColoCode\":\"RUH\",\"EdgeColoID\":339,\"EdgeEndTimestamp\":\"2022-05-25T13:25:32Z\",\"EdgePathingOp\":\"wl\",\"EdgePathingSrc\":\"macro\",\"EdgePathingStatus\":\"nr\",\"EdgeRateLimitAction\":\"unknown\",\"EdgeRateLimitID\":0,\"EdgeRequestHost\":\"abc.example.com\",\"EdgeResponseBodyBytes\":980397,\"EdgeResponseBytes\":981308,\"EdgeResponseCompressionRatio\":0,\"EdgeResponseContentType\":\"application/json\",\"EdgeResponseStatus\":200,\"EdgeServerIP\":\"1.128.0.0\",\"EdgeStartTimestamp\":\"2022-05-25T13:25:26Z\",\"EdgeTimeToFirstByteMs\":5333,\"OriginDNSResponseTimeMs\":3,\"OriginIP\":\"67.43.156.0\",\"OriginRequestHeaderSendDurationMs\":0,\"OriginResponseBytes\":0,\"OriginResponseDurationMs\":5319,\"OriginResponseHTTPExpires\":\"2022-05-27T13:25:26Z\",\"OriginResponseHTTPLastModified\":\"2022-05-26T13:25:26Z\",\"OriginResponseHeaderReceiveDurationMs\":5155,\"OriginResponseStatus\":200,\"OriginResponseTime\":5232000000,\"OriginSSLProtocol\":\"TLSv1.2\",\"OriginTCPHandshakeDurationMs\":24,\"OriginTLSHandshakeDurationMs\":53,\"ParentRayID\":\"710e98d93d50357d\",\"RayID\":\"710e98d9367f357d\",\"SecurityAction\":\"unknown\",\"SecurityLevel\":\"off\",\"SecurityRuleDescription\":\"matchad variable message\",\"SecurityRuleID\":\"98d93d5\",\"SmartRouteColoID\":20,\"UpperTierColoID\":0,\"WAFAttackScore\":50,\"WAFFlags\":\"0\",\"WAFMatchedVar\":\"example\",\"WAFProfile\":\"unknown\",\"WAFRCEAttackScore\":1,\"WAFSQLiAttackScore\":99,\"WAFXSSAttackScore\":90,\"WorkerCPUTime\":0,\"WorkerStatus\":\"unknown\",\"WorkerSubrequest\":true,\"WorkerSubrequestCount\":0,\"ZoneID\":393347122,\"ZoneName\":\"example.com\"}",
"type": [
"info"
]
},
"http": {
"request": {
"method": "POST"
},
"response": {
"mime_type": "application/json",
"status_code": 200
},
"version": "1.1"
},
"input": {
"type": "http_endpoint"
},
"network": {
"protocol": "http"
},
"related": {
"ip": [
"175.16.199.0",
"67.43.156.0"
]
},
"source": {
"as": {
"number": 43766
},
"geo": {
"country_iso_code": "sa"
},
"ip": "175.16.199.0"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-http_request"
],
"tls": {
"version": "1.2",
"version_protocol": "tls"
},
"url": {
"domain": "xyz.example.com",
"original": "/s/example/api/telemetry/v2/clusters/_stats",
"path": "/s/example/api/telemetry/v2/clusters/_stats",
"scheme": "https"
},
"user_agent": {
"device": {
"name": "Mac"
},
"name": "Chrome",
"original": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36",
"os": {
"full": "Mac OS X 10.10.5",
"name": "Mac OS X",
"version": "10.10.5"
},
"version": "51.0.2704.103"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.http_request.bot.detection_ids |
与对请求进行的机器人管理启发式检测相关的 ID 列表。仅在 Logpush v2 中可用。 |
长整型 |
cloudflare_logpush.http_request.bot.score.src |
负责生成机器人分数的检测引擎。可能的值为“未计算”、“启发式”、“机器学习”、“行为分析”、“已验证的机器人”、“JS 指纹识别”、“Cloudflare 服务”。 |
文本 |
cloudflare_logpush.http_request.bot.score.value |
Cloudflare 机器人分数。低于 30 的分数通常与自动化流量相关。 |
长整型 |
cloudflare_logpush.http_request.bot.tag |
机器人流量类型(如果可用)。仅在 Logpush v2 中可用。 |
文本 |
cloudflare_logpush.http_request.cache.response.bytes |
缓存返回的字节数。 |
长整型 |
cloudflare_logpush.http_request.cache.response.status |
缓存状态。 |
长整型 |
cloudflare_logpush.http_request.cache.status |
缓存返回给边缘的 HTTP 状态代码。 |
关键字 |
cloudflare_logpush.http_request.cache.tiered_fill |
使用分层缓存来服务此请求。 |
布尔值 |
cloudflare_logpush.http_request.client.asn |
客户端 AS 号。 |
长整型 |
cloudflare_logpush.http_request.client.country |
客户端 IP 地址的国家/地区。 |
关键字 |
cloudflare_logpush.http_request.client.device.type |
客户端设备类型。 |
关键字 |
cloudflare_logpush.http_request.client.ip |
客户端的 IP 地址。 |
ip |
cloudflare_logpush.http_request.client.ip_class |
IP 类别。 |
关键字 |
cloudflare_logpush.http_request.client.mtls.auth.fingerprint |
客户端在 mTLS 身份验证期间提供的证书的 SHA256 指纹。 |
关键字 |
cloudflare_logpush.http_request.client.mtls.auth.status |
mTLS 身份验证的状态,仅在 mTLS 连接的第一个请求上填充。 |
关键字 |
cloudflare_logpush.http_request.client.request.bytes |
客户端请求中的字节数。 |
长整型 |
cloudflare_logpush.http_request.client.request.host |
客户端请求的主机。 |
关键字 |
cloudflare_logpush.http_request.client.request.method |
客户端请求的 HTTP 方法。 |
文本 |
cloudflare_logpush.http_request.client.request.path |
客户端请求的 URI 路径。 |
文本 |
cloudflare_logpush.http_request.client.request.protocol |
客户端请求的 HTTP 协议。 |
关键字 |
cloudflare_logpush.http_request.client.request.referer |
HTTP 请求的来源网址。 |
文本 |
cloudflare_logpush.http_request.client.request.scheme |
访客请求的 URL 方案。 |
文本 |
cloudflare_logpush.http_request.client.request.source |
标识请求是来自外部来源还是 Cloudflare 内的其他服务。 |
关键字 |
cloudflare_logpush.http_request.client.request.uri |
客户端请求的 URI。 |
文本 |
cloudflare_logpush.http_request.client.request.user.agent |
客户端报告的用户代理。 |
文本 |
cloudflare_logpush.http_request.client.src.port |
客户端源端口。 |
长整型 |
cloudflare_logpush.http_request.client.ssl.cipher |
客户端 SSL 密码。 |
文本 |
cloudflare_logpush.http_request.client.ssl.protocol |
客户端 SSL (TLS) 协议。 |
关键字 |
cloudflare_logpush.http_request.client.tcp_rtt.ms |
TCP 往返时间 (SRTT) 的平滑平均值。对于连接上的初始请求,仅在连接设置期间测量;对于同一连接上的后续请求,则在整个连接生命周期内测量,直到收到请求时为止。 |
长整型 |
cloudflare_logpush.http_request.client.xrequested_with |
X-Requested-With HTTP 标头。 |
文本 |
cloudflare_logpush.http_request.cookies |
Cookie 的字符串键值对。 |
已扁平化 |
cloudflare_logpush.http_request.edge.cf_connecting_o2o |
如果请求在 Cloudflare 边缘上的多个区域中循环,则为 True。 |
布尔值 |
cloudflare_logpush.http_request.edge.colo.code |
接收请求的数据中心的 IATA 机场代码。 |
关键字 |
cloudflare_logpush.http_request.edge.colo.id |
Cloudflare 边缘数据中心 ID。 |
长整型 |
cloudflare_logpush.http_request.edge.end_time |
边缘完成向客户端发送响应的时间戳。 |
日期 |
cloudflare_logpush.http_request.edge.pathing.op |
指示为此请求发出的响应类型。 |
文本 |
cloudflare_logpush.http_request.edge.pathing.src |
详细说明如何根据安全检查对请求进行分类。 |
文本 |
cloudflare_logpush.http_request.edge.pathing.status |
指示使用什么数据来确定此请求的处理方式。 |
文本 |
cloudflare_logpush.http_request.edge.rate.limit.action |
阻止规则采取的操作;如果未采取任何操作,则为空。 |
关键字 |
cloudflare_logpush.http_request.edge.rate.limit.id |
触发阻止(禁止)或日志操作的速率限制规则的内部规则 ID。 |
长整型 |
cloudflare_logpush.http_request.edge.request.host |
从边缘到源站的请求中的 Host 标头。 |
关键字 |
cloudflare_logpush.http_request.edge.response.body_bytes |
返回给客户端的 HTTP 响应正文的大小。 |
长整型 |
cloudflare_logpush.http_request.edge.response.bytes |
边缘返回给客户端的字节数。 |
长整型 |
cloudflare_logpush.http_request.edge.response.compression_ratio |
边缘响应压缩率。 |
双精度浮点数 |
cloudflare_logpush.http_request.edge.response.content_type |
边缘响应 Content-Type 标头值。 |
文本 |
cloudflare_logpush.http_request.edge.response.status |
Cloudflare 返回给客户端的 HTTP 状态代码。 |
长整型 |
cloudflare_logpush.http_request.edge.server.ip |
向源站发出请求的边缘服务器的 IP。 |
ip |
cloudflare_logpush.http_request.edge.start_time |
边缘从客户端收到请求的时间戳。 |
日期 |
cloudflare_logpush.http_request.edge.time_to_first_byte.ms |
在 Cloudflare 边缘测量的首字节时间总览。 |
长整型 |
cloudflare_logpush.http_request.firewall.matches.action |
Cloudflare 防火墙产品对此请求执行的操作的数组。 |
关键字 |
cloudflare_logpush.http_request.firewall.matches.rule_id |
与请求匹配的防火墙产品的 RuleID 数组。 |
关键字 |
cloudflare_logpush.http_request.firewall.matches.sources |
与请求匹配的防火墙产品。 |
关键字 |
cloudflare_logpush.http_request.ja3_hash |
用于分析 SSL/TLS 客户端的 JA3 指纹的 MD5 哈希值。 |
关键字 |
cloudflare_logpush.http_request.ja4 |
用于分析 SSL/TLS 客户端的 JA4 指纹。仅适用于 Bot Management 客户。 |
关键字 |
cloudflare_logpush.http_request.ja4_signals |
为此 JA4 指纹计算的请求间统计信息。JA4Signals 字段以键值对形式组织,其中值是数字。仅适用于 Bot Management 客户。 |
已扁平化 |
cloudflare_logpush.http_request.origin.dns_response_time.ms |
接收源站名称的 DNS 响应所花费的时间。 |
长整型 |
cloudflare_logpush.http_request.origin.ip |
源服务器的 IP。 |
ip |
cloudflare_logpush.http_request.origin.request_header_send_duration.ms |
建立连接后,将请求标头发送到源站所花费的时间。 |
长整型 |
cloudflare_logpush.http_request.origin.response.bytes |
源服务器返回的字节数。 |
长整型 |
cloudflare_logpush.http_request.origin.response.duration.ms |
从接收请求的第一个数据中心测量的上游响应时间。 |
长整型 |
cloudflare_logpush.http_request.origin.response.header_receive_duration.ms |
Cloudflare 完成发送请求标头后,源站返回响应标头所花费的时间。 |
长整型 |
cloudflare_logpush.http_request.origin.response.http.expires |
RFC1123 格式的源站 expires 标头的值。 |
日期 |
cloudflare_logpush.http_request.origin.response.http.last_modified |
RFC1123 格式的源站 last-modified 标头的值。 |
日期 |
cloudflare_logpush.http_request.origin.response.status |
源服务器返回的状态。 |
长整型 |
cloudflare_logpush.http_request.origin.response.time |
源站将响应返回到边缘所花费的纳秒数。 |
长整型 |
cloudflare_logpush.http_request.origin.ssl_protocol |
用于连接到源站的 SSL (TLS) 协议。 |
文本 |
cloudflare_logpush.http_request.origin.tcp_handshake_duration.ms |
完成与源站的 TCP 握手所花费的时间。 |
长整型 |
cloudflare_logpush.http_request.origin.tls_handshake_duration.ms |
完成与源站的 TLS 握手所花费的时间。 |
长整型 |
cloudflare_logpush.http_request.parent_ray.id |
如果此请求是使用 Worker 脚本发出的,则为父请求的 Ray ID。 |
关键字 |
cloudflare_logpush.http_request.ray.id |
请求的 ID。 |
关键字 |
cloudflare_logpush.http_request.request.headers |
RequestHeaders 的字符串键值对。 |
已扁平化 |
cloudflare_logpush.http_request.response.headers |
ResponseHeaders 的字符串键值对。 |
已扁平化 |
cloudflare_logpush.http_request.security_level |
此请求时配置的安全级别。这用于确定 IP 信誉系统的敏感性。 |
文本 |
cloudflare_logpush.http_request.smart_route.colo.id |
如果使用 Argo 智能路由,则用于连接到源服务器的 Cloudflare 数据中心。仅在 Logpush v2 中可用。 |
长整型 |
cloudflare_logpush.http_request.upper_tier.colo.id |
如果使用分层缓存,则检查缓存副本的“上层”数据中心。仅在 Logpush v2 中可用。 |
长整型 |
cloudflare_logpush.http_request.waf.action |
如果触发 WAF,则由 WAF 采取的操作。 |
文本 |
cloudflare_logpush.http_request.waf.flag |
其他配置标志。 |
文本 |
cloudflare_logpush.http_request.waf.matched_var |
最近匹配的变量的全名。 |
文本 |
cloudflare_logpush.http_request.waf.profile |
WAF 的配置文件。可能的值为:-low、med、high。 |
关键字 |
cloudflare_logpush.http_request.waf.rule.id |
应用的 WAF 规则的 ID。 |
关键字 |
cloudflare_logpush.http_request.waf.rule.message |
与触发的规则关联的规则消息。 |
文本 |
cloudflare_logpush.http_request.waf.score.global |
由 WAF 检测模块生成的总体请求分数。 |
长整型 |
cloudflare_logpush.http_request.waf.score.rce |
远程代码执行 (RCE) 攻击的 WAF 分数。 |
长整型 |
cloudflare_logpush.http_request.waf.score.sqli |
SQL 注入 (SQLi) 攻击的 WAF 分数。 |
长整型 |
cloudflare_logpush.http_request.waf.score.xss |
跨站脚本 (XSS) 攻击的 WAF 分数。 |
长整型 |
cloudflare_logpush.http_request.worker.cpu_time |
执行 Worker 所花费的时间(以微秒为单位),如果有。 |
长整型 |
cloudflare_logpush.http_request.worker.status |
从 Worker 守护程序返回的状态。 |
文本 |
cloudflare_logpush.http_request.worker.subrequest.count |
Worker 处理此请求时发出的子请求数。 |
长整型 |
cloudflare_logpush.http_request.worker.subrequest.value |
此请求是否为 Worker 子请求。 |
布尔值 |
cloudflare_logpush.http_request.worker.wall_time_us |
Worker 调用开始和结束之间经过的实际时间(以微秒为单位)。 |
长整型 |
cloudflare_logpush.http_request.zone.id |
内部区域 ID。 |
长整型 |
cloudflare_logpush.http_request.zone.name |
该区域的人类可读名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
magic_ids
编辑这是 magic_ids 数据集。
示例
以下是 magic_ids 的示例事件
{
"@timestamp": "2023-09-11T03:02:57.000Z",
"agent": {
"ephemeral_id": "ae1e024e-d035-4342-b6bf-c123af3fce06",
"id": "e0bfaeb7-64d9-40b9-8534-3d0e780f33cf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"magic_ids": {
"action": "pass",
"colo": {
"city": "Tokyo",
"code": "NRT"
},
"destination": {
"ip": "89.160.20.129",
"port": 80
},
"signature": {
"id": 2031296,
"message": "ET CURRENT_EVENTS [Fireeye] POSSIBLE HackTool.TCP.Rubeus.[User32LogonProcesss]",
"revision": 1
},
"source": {
"ip": "67.43.156.2",
"port": 44667
},
"timestamp": "2023-09-11T03:02:57.000Z",
"transport": "tcp"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.magic_ids",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129",
"port": 80
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e0bfaeb7-64d9-40b9-8534-3d0e780f33cf",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "pass",
"agent_id_status": "verified",
"category": [
"network",
"intrusion_detection"
],
"dataset": "cloudflare_logpush.magic_ids",
"ingested": "2023-09-22T16:55:04Z",
"kind": "event",
"original": "{\"Action\":\"pass\",\"ColoCity\":\"Tokyo\",\"ColoCode\":\"NRT\",\"DestinationIP\":\"89.160.20.129\",\"DestinationPort\":80,\"Protocol\":\"tcp\",\"SignatureID\":2031296,\"SignatureMessage\":\"ET CURRENT_EVENTS [Fireeye] POSSIBLE HackTool.TCP.Rubeus.[User32LogonProcesss]\",\"SignatureRevision\":1,\"SourceIP\":\"67.43.156.2\",\"SourcePort\":44667,\"Timestamp\":\"2023-09-11T03:02:57Z\"}",
"type": [
"info",
"allowed"
]
},
"input": {
"type": "http_endpoint"
},
"network": {
"transport": "tcp"
},
"related": {
"ip": [
"89.160.20.129",
"67.43.156.2"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2",
"port": 44667
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-magic_ids"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.magic_ids.action |
对数据包采取的操作。可能的值为 pass |
block。 |
关键字 |
cloudflare_logpush.magic_ids.colo.city |
发生检测的城市。 |
关键字 |
cloudflare_logpush.magic_ids.colo.code |
与发生检测的位置对应的 IATA 机场代码。 |
关键字 |
cloudflare_logpush.magic_ids.destination.ip |
触发检测的数据包的目标 IP。 |
ip |
cloudflare_logpush.magic_ids.destination.port |
触发检测的数据包的目标端口。如果协议字段设置为任何,则设置为 0。 |
长整型 |
cloudflare_logpush.magic_ids.signature.id |
检测的签名 ID。 |
长整型 |
cloudflare_logpush.magic_ids.signature.message |
检测的签名消息。描述数据包尝试执行的操作。 |
关键字 |
cloudflare_logpush.magic_ids.signature.revision |
检测的签名修订版。 |
长整型 |
cloudflare_logpush.magic_ids.source.ip |
触发检测的数据包的源 IP。 |
ip |
cloudflare_logpush.magic_ids.source.port |
触发检测的数据包的源端口。如果协议字段设置为任何,则设置为 0。 |
长整型 |
cloudflare_logpush.magic_ids.timestamp |
发生检测的时间戳。 |
日期 |
cloudflare_logpush.magic_ids.transport |
触发检测的数据包的第 4 层协议。可能的值为 tcp |
udp |
any。变体 any 表示检测发生在较低层(例如 IP)。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
nel_report
编辑这是 nel_report 数据集。
示例
以下是 nel_report 的示例事件
{
"@timestamp": "2021-07-27T00:01:07.000Z",
"agent": {
"ephemeral_id": "0162f50b-a9a1-4305-95cd-39e77bc8f19a",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"nel_report": {
"client": {
"ip": {
"asn": {
"description": "CLOUDFLARENET",
"value": 13335
},
"country": "US"
}
},
"error": {
"type": "network-error"
},
"last_known_good": {
"colo": {
"code": "SJC"
}
},
"phase": "connection",
"timestamp": "2021-07-27T00:01:07.000Z"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.nel_report",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"error": {
"type": "network-error"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.nel_report",
"ingested": "2023-09-25T18:32:06Z",
"kind": "event",
"original": "{\"ClientIPASN\":\"13335\",\"ClientIPASNDescription\":\"CLOUDFLARENET\",\"ClientIPCountry\":\"US\",\"LastKnownGoodColoCode\":\"SJC\",\"Phase\":\"connection\",\"Timestamp\":\"2021-07-27T00:01:07Z\",\"Type\":\"network-error\"}",
"type": [
"info"
]
},
"input": {
"type": "http_endpoint"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-nel_report"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.nel_report.client.ip.asn.description |
客户端 ASN 描述。 |
关键字 |
cloudflare_logpush.nel_report.client.ip.asn.value |
客户端 ASN。 |
长整型 |
cloudflare_logpush.nel_report.client.ip.country |
客户端国家/地区。 |
关键字 |
cloudflare_logpush.nel_report.error.type |
阶段中的错误类型。 |
关键字 |
cloudflare_logpush.nel_report.last_known_good.colo.code |
客户端连接到的数据中心的 IATA 机场代码。 |
关键字 |
cloudflare_logpush.nel_report.phase |
发生错误的连接阶段。 |
关键字 |
cloudflare_logpush.nel_report.timestamp |
错误报告的时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
network_analytics
编辑这是 network_analytics 数据集。
示例
以下是 network_analytics 的示例事件
{
"@timestamp": "2021-07-27T00:01:07.000Z",
"agent": {
"ephemeral_id": "3a0ee743-f629-4406-8439-50618a9cfdc6",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"network_analytics": {
"attack": {
"campaign": {
"id": "xyz987"
},
"id": "abc777"
},
"colo": {
"country": "AD",
"geo_hash": "gbuun",
"geo_location": "gbuun",
"id": 46,
"name": "SJC"
},
"destination": {
"as": {
"number": {
"description": "asn description"
}
},
"asn": 1900,
"country": "AD",
"geo_hash": "gbuun",
"geo_location": "gbuun",
"ip": "175.16.199.0",
"port": 0
},
"direction": "ingress",
"gre": {
"checksum": 10,
"ether": {
"type": 10
},
"header": {
"length": 1024
},
"key": 10,
"sequence": {
"number": 10
},
"version": 10
},
"icmp": {
"checksum": 10,
"code": 10,
"type": 10
},
"ip": {
"destination": {
"subnet": "/24"
},
"fragment": {
"offset": 1480
},
"header": {
"length": 20
},
"more": {
"fragments": 1480
},
"protocol": {
"name": "tcp",
"value": 6
},
"source": {
"subnet": "/24"
},
"total": {
"length": {
"buckets": 10,
"value": 1024
}
},
"ttl": {
"buckets": 2,
"value": 240
}
},
"ipv4": {
"checksum": 0,
"dont_fragment": 0,
"dscp": 46,
"ecn": 1,
"identification": 1,
"options": 1
},
"ipv6": {
"dscp": 46,
"ecn": 1,
"extension_headers": "header",
"flow_label": 1,
"identification": 1
},
"mitigation": {
"reason": "BLOCKED",
"scope": "local",
"system": "flowtrackd"
},
"outcome": "success",
"protocol_state": "OPEN",
"rule": {
"id": "rule1",
"set": {
"id": "3b64149bfa6e4220bbbc2bd6db589552",
"override": {
"id": "id1"
}
}
},
"sample_interval": 1,
"source": {
"as": {
"number": {
"description": "Source ASN Description"
}
},
"asn": 1500,
"country": "AD",
"geo_hash": "gbuun",
"geo_location": "gbuun",
"ip": "67.43.156.0",
"port": 0
},
"tcp": {
"acknowledgement_number": 1000,
"checksum": 10,
"dataoffset": 0,
"flags": {
"string": "Human-readable flags string",
"value": 1
},
"mss": 512,
"options": "mss",
"sack": {
"blocks": 1,
"permitted": 1
},
"sequence_number": 100,
"timestamp": {
"ecr": 100,
"value": 100
},
"urgent_pointer": 10,
"window": {
"scale": 10,
"size": 10
}
},
"timestamp": "2021-07-27T00:01:07.000Z",
"udp": {
"checksum": 10,
"payload_length": 10
},
"verdict": "pass"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.network_analytics",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 1900
},
"ip": "175.16.199.0",
"port": 0
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.network_analytics",
"ingested": "2023-09-25T18:33:18Z",
"kind": "event",
"original": "{\"AttackCampaignID\":\"xyz987\",\"AttackID\":\"abc777\",\"ColoCountry\":\"AD\",\"ColoGeoHash\":\"gbuun\",\"ColoID\":46,\"ColoName\":\"SJC\",\"Datetime\":\"2021-07-27T00:01:07Z\",\"DestinationASN\":1900,\"DestinationASNDescription\":\"asn description\",\"DestinationCountry\":\"AD\",\"DestinationGeoHash\":\"gbuun\",\"DestinationPort\":0,\"Direction\":\"ingress\",\"GREChecksum\":10,\"GREEthertype\":10,\"GREHeaderLength\":1024,\"GREKey\":10,\"GRESequenceNumber\":10,\"GREVersion\":10,\"ICMPChecksum\":10,\"ICMPCode\":10,\"ICMPType\":10,\"IPDestinationAddress\":\"175.16.199.0\",\"IPDestinationSubnet\":\"/24\",\"IPFragmentOffset\":1480,\"IPHeaderLength\":20,\"IPMoreFragments\":1480,\"IPProtocol\":6,\"IPProtocolName\":\"tcp\",\"IPSourceAddress\":\"67.43.156.0\",\"IPSourceSubnet\":\"/24\",\"IPTotalLength\":1024,\"IPTotalLengthBuckets\":10,\"IPTtl\":240,\"IPTtlBuckets\":2,\"IPv4Checksum\":0,\"IPv4DontFragment\":0,\"IPv4Dscp\":46,\"IPv4Ecn\":1,\"IPv4Identification\":1,\"IPv4Options\":1,\"IPv6Dscp\":46,\"IPv6Ecn\":1,\"IPv6ExtensionHeaders\":\"header\",\"IPv6FlowLabel\":1,\"IPv6Identification\":1,\"MitigationReason\":\"BLOCKED\",\"MitigationScope\":\"local\",\"MitigationSystem\":\"flowtrackd\",\"Outcome\":\"pass\",\"ProtocolState\":\"OPEN\",\"RuleID\":\"rule1\",\"RulesetID\":\"3b64149bfa6e4220bbbc2bd6db589552\",\"RulesetOverrideID\":\"id1\",\"SampleInterval\":1,\"SourceASN\":1500,\"SourceASNDescription\":\"Source ASN Description\",\"SourceCountry\":\"AD\",\"SourceGeoHash\":\"gbuun\",\"SourcePort\":0,\"TCPAcknowledgementNumber\":1000,\"TCPChecksum\":10,\"TCPDataOffset\":0,\"TCPFlags\":1,\"TCPFlagsString\":\"Human-readable flags string\",\"TCPMss\":512,\"TCPOptions\":\"mss\",\"TCPSackBlocks\":1,\"TCPSacksPermitted\":1,\"TCPSequenceNumber\":100,\"TCPTimestampEcr\":100,\"TCPTimestampValue\":100,\"TCPUrgentPointer\":10,\"TCPWindowScale\":10,\"TCPWindowSize\":10,\"UDPChecksum\":10,\"UDPPayloadLength\":10,\"Verdict\":\"pass\"}",
"outcome": "success",
"type": [
"info"
]
},
"input": {
"type": "http_endpoint"
},
"network": {
"direction": "ingress",
"transport": "tcp"
},
"related": {
"hash": [
"gbuun"
],
"ip": [
"67.43.156.0",
"175.16.199.0"
]
},
"rule": {
"id": "rule1"
},
"source": {
"as": {
"number": 1500
},
"ip": "67.43.156.0",
"port": 0
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-network_analytics"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.network_analytics.attack.campaign.id |
此数据包所属的攻击活动的唯一标识符(如果有)。 |
关键字 |
cloudflare_logpush.network_analytics.attack.id |
与数据包匹配的缓解措施的唯一标识符(如果有)。 |
关键字 |
cloudflare_logpush.network_analytics.colo.country |
接收数据包的数据中心的国家/地区(ISO 3166-1 alpha-2)。 |
关键字 |
cloudflare_logpush.network_analytics.colo.geo_hash |
接收数据包的数据中心所在的地理哈希。 |
关键字 |
cloudflare_logpush.network_analytics.colo.geo_location |
接收数据包的数据中心所在的纬度和经度。 |
地理点 |
cloudflare_logpush.network_analytics.colo.id |
接收 DNS 查询的 colo 的 ID。 |
长整型 |
cloudflare_logpush.network_analytics.colo.name |
接收 DNS 查询的机房名称。 |
关键字 |
cloudflare_logpush.network_analytics.destination.as.number.description |
与数据包目标 IP 关联的 ASN 描述。 |
文本 |
cloudflare_logpush.network_analytics.destination.asn |
与数据包目标 IP 关联的 ASN。 |
长整型 |
cloudflare_logpush.network_analytics.destination.country |
数据包目标 IP 所在的国家/地区。 |
关键字 |
cloudflare_logpush.network_analytics.destination.geo_hash |
数据包目标 IP 所在的地理哈希。 |
关键字 |
cloudflare_logpush.network_analytics.destination.geo_location |
数据包目标 IP 所在的纬度和经度。 |
地理点 |
cloudflare_logpush.network_analytics.destination.ip |
IPv4 或 IPv6 数据包中目标地址头字段的值。 |
ip |
cloudflare_logpush.network_analytics.destination.port |
TCP 或 UDP 数据包中目标端口头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.direction |
相对于客户网络的方向。 |
关键字 |
cloudflare_logpush.network_analytics.gre.checksum |
GRE 数据包中校验和头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.gre.ether.type |
GRE 数据包中以太类型头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.gre.header.length |
GRE 数据包头的长度,以字节为单位。 |
长整型 |
cloudflare_logpush.network_analytics.gre.key |
GRE 数据包中密钥头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.gre.sequence.number |
GRE 数据包中序列号头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.gre.version |
GRE 数据包中版本头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.icmp.checksum |
ICMP 数据包中校验和头字段的值 |
长整型 |
cloudflare_logpush.network_analytics.icmp.code |
ICMP 数据包中代码头字段的值 |
长整型 |
cloudflare_logpush.network_analytics.icmp.type |
ICMP 数据包中类型头字段的值 |
长整型 |
cloudflare_logpush.network_analytics.ip.destination.subnet |
IPv4 或 IPv6 数据包中目标地址头字段的计算子网。 |
关键字 |
cloudflare_logpush.network_analytics.ip.fragment.offset |
IPv4 或 IPv6 数据包中片段偏移头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ip.header.length |
IPv4 或 IPv6 数据包头的长度,以字节为单位。 |
长整型 |
cloudflare_logpush.network_analytics.ip.more.fragments |
IPv4 或 IPv6 数据包中更多片段头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ip.protocol.name |
IPv4 或 IPv6 数据包中协议头字段指定的协议名称。 |
文本 |
cloudflare_logpush.network_analytics.ip.protocol.value |
IPv4 或 IPv6 数据包中协议头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ip.source.subnet |
IPv4 或 IPv6 数据包中源地址头字段的计算子网。 |
关键字 |
cloudflare_logpush.network_analytics.ip.total.length.buckets |
IPv4 或 IPv6 数据包的总长度,以字节为单位,最后两位被截断。 |
长整型 |
cloudflare_logpush.network_analytics.ip.total.length.value |
IPv4 或 IPv6 数据包的总长度,以字节为单位。 |
长整型 |
cloudflare_logpush.network_analytics.ip.ttl.buckets |
IPv4 数据包中的 TTL 头字段或 IPv6 数据包中的跳数限制头字段的值,最后一位被截断。 |
长整型 |
cloudflare_logpush.network_analytics.ip.ttl.value |
IPv4 数据包中的 TTL 头字段或 IPv6 数据包中的跳数限制头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv4.checksum |
IPv4 数据包中校验和头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv4.dont_fragment |
IPv4 数据包中不分段头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv4.dscp |
IPv4 数据包中区分服务代码点头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv4.ecn |
IPv4 数据包中显式拥塞通知头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv4.identification |
IPv4 数据包中标识头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv4.options |
IPv4 数据包头中包含的选项编号列表。 |
长整型 |
cloudflare_logpush.network_analytics.ipv6.dscp |
IPv6 数据包中区分服务代码点头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv6.ecn |
IPv6 数据包中显式拥塞通知头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv6.extension_headers |
IPv6 数据包头中包含的扩展头编号列表。 |
文本 |
cloudflare_logpush.network_analytics.ipv6.flow_label |
IPv6 数据包中流标签头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.ipv6.identification |
IPv6 数据包中标识扩展头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.mitigation.reason |
如果对数据包应用了缓解措施,则为应用缓解措施的原因。 |
关键字 |
cloudflare_logpush.network_analytics.mitigation.scope |
如果数据包匹配了本地或全局缓解措施,则指示其作用域。 |
关键字 |
cloudflare_logpush.network_analytics.mitigation.system |
如果丢弃了数据包,则指示是哪个 Cloudflare 系统丢弃的。 |
关键字 |
cloudflare_logpush.network_analytics.outcome |
Cloudflare 系统对数据包执行的操作。 |
关键字 |
cloudflare_logpush.network_analytics.protocol_state |
数据包在协议上下文中的状态(如果有)。 |
关键字 |
cloudflare_logpush.network_analytics.rule.id |
此数据包匹配的 Cloudflare L3/4 管理规则集中包含的规则的唯一标识符(如果有)。 |
文本 |
cloudflare_logpush.network_analytics.rule.set.id |
包含此数据包匹配的规则的 Cloudflare L3/4 管理规则集的唯一标识符(如果有)。 |
关键字 |
cloudflare_logpush.network_analytics.rule.set.override.id |
帐户根 ddos_l4 阶段规则集中导致覆盖默认敏感度或应用/评估操作的规则的唯一标识符(如果有)。 |
文本 |
cloudflare_logpush.network_analytics.sample_interval |
此日志的采样间隔。 |
长整型 |
cloudflare_logpush.network_analytics.source.as.number.description |
与数据包源 IP 关联的 ASN 描述。 |
文本 |
cloudflare_logpush.network_analytics.source.asn |
与数据包源 IP 关联的 ASN。 |
长整型 |
cloudflare_logpush.network_analytics.source.country |
数据包源 IP 所在的国家/地区。 |
关键字 |
cloudflare_logpush.network_analytics.source.geo_hash |
数据包源 IP 所在的地理哈希。 |
关键字 |
cloudflare_logpush.network_analytics.source.geo_location |
数据包源 IP 所在的纬度和经度。 |
地理点 |
cloudflare_logpush.network_analytics.source.ip |
IPv4 或 IPv6 数据包中源地址头字段的值。 |
ip |
cloudflare_logpush.network_analytics.source.port |
TCP 或 UDP 数据包中源端口头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.acknowledgement_number |
TCP 数据包中确认号头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.checksum |
TCP 数据包中校验和头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.dataoffset |
TCP 数据包中数据偏移头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.flags.string |
TCP 数据包中标志头字段的人类可读的字符串表示形式。 |
文本 |
cloudflare_logpush.network_analytics.tcp.flags.value |
TCP 数据包中标志头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.mss |
TCP 数据包中 MSS 选项头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.options |
TCP 数据包头中包含的选项编号列表。 |
文本 |
cloudflare_logpush.network_analytics.tcp.sack.blocks |
TCP 数据包中 SACK 块选项头的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.sack.permitted |
TCP 数据包中允许 SACK 选项头的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.sequence_number |
TCP 数据包中序列号头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.timestamp.ecr |
TCP 数据包中时间戳回显回复选项头的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.timestamp.value |
TCP 数据包中时间戳选项头的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.urgent_pointer |
TCP 数据包中紧急指针头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.window.scale |
TCP 数据包中窗口缩放选项头的值。 |
长整型 |
cloudflare_logpush.network_analytics.tcp.window.size |
TCP 数据包中窗口大小头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.timestamp |
事件发生在边缘的日期和时间。 |
日期 |
cloudflare_logpush.network_analytics.udp.checksum |
UDP 数据包中校验和头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.udp.payload_length |
UDP 数据包中有效负载长度头字段的值。 |
长整型 |
cloudflare_logpush.network_analytics.verdict |
Cloudflare 系统认为应该对数据包执行的操作(通过 |
丢弃)。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
network_session
编辑这是 network_session 数据集。
示例
network_session 的示例事件如下所示
{
"@timestamp": "2023-05-04T11:29:14.000Z",
"agent": {
"ephemeral_id": "fc3473fb-0c27-4f05-a6d3-a01758c4e35c",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"network_session": {
"account_id": "e1836771179f98aabb828da5ea69a111",
"destination": {
"bytes": 679,
"ip": "89.160.20.129",
"port": 80,
"tunnel_id": "00000000-0000-0000-0000-000000000000"
},
"egress": {
"colo_name": "ORD",
"ip": "2a02:cf40::23",
"port": 41052,
"rule": {
"id": "00000000-0000-0000-0000-000000000000",
"name": "Egress Rule 1"
}
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b100cff",
"name": "zt-test-vm1"
},
"ingress": {
"colo_name": "ORD"
},
"offramp": "INTERNET",
"rule_evaluation": {
"time_ms": 10
},
"session": {
"end": "2023-05-04T11:29:14.000Z",
"id": "18881f179300007fb0d06d6400000001",
"start": "2023-05-04T11:29:14.000Z"
},
"source": {
"bytes": 2333,
"internal_ip": "1.128.0.1",
"ip": "67.43.156.2",
"port": 52994
},
"tcp": {
"client": {
"handshake_time_ms": 12
},
"connection": {
"close_reason": "CLIENT_CLOSED",
"reuse": false
}
},
"timestamp": "2023-05-04T11:29:14.000Z",
"tls": {
"client": {
"cipher": "TLS_AES_128_GCM_SHA256",
"handshake_time_ms": 125,
"version": "TLS 1.3"
},
"server": {
"certificate": {
"issuer": "DigiCert Inc",
"validation_result": "VALID"
},
"cipher": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"handshake_time_ms": 130,
"version": "TLS 1.2"
}
},
"transport": "TCP",
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245723949f"
},
"vlan": {
"id": "0ce99869-63d3-4d5d-bdaf-d4f33df964aa"
}
}
},
"data_stream": {
"dataset": "cloudflare_logpush.network_session",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"bytes": 679,
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129",
"port": 80
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network",
"session"
],
"dataset": "cloudflare_logpush.network_session",
"end": "2023-05-04T11:29:14.000Z",
"id": "18881f179300007fb0d06d6400000001",
"ingested": "2023-09-25T18:34:32Z",
"kind": "event",
"original": "{\"AccountID\":\"e1836771179f98aabb828da5ea69a111\",\"BytesReceived\":679,\"BytesSent\":2333,\"ClientTCPHandshakeDurationMs\":12,\"ClientTLSCipher\":\"TLS_AES_128_GCM_SHA256\",\"ClientTLSHandshakeDurationMs\":125,\"ClientTLSVersion\":\"TLS 1.3\",\"ConnectionCloseReason\":\"CLIENT_CLOSED\",\"ConnectionReuse\":false,\"DestinationTunnelID\":\"00000000-0000-0000-0000-000000000000\",\"DeviceID\":\"083a8354-d56c-11ed-9771-6a842b100cff\",\"DeviceName\":\"zt-test-vm1\",\"EgressColoName\":\"ORD\",\"EgressIP\":\"2a02:cf40::23\",\"EgressPort\":41052,\"EgressRuleID\":\"00000000-0000-0000-0000-000000000000\",\"EgressRuleName\":\"Egress Rule 1\",\"Email\":\"[email protected]\",\"IngressColoName\":\"ORD\",\"Offramp\":\"INTERNET\",\"OriginIP\":\"89.160.20.129\",\"OriginPort\":80,\"OriginTLSCertificateIssuer\":\"DigiCert Inc\",\"OriginTLSCertificateValidationResult\":\"VALID\",\"OriginTLSCipher\":\"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384\",\"OriginTLSHandshakeDurationMs\":130,\"OriginTLSVersion\":\"TLS 1.2\",\"Protocol\":\"TCP\",\"RuleEvaluationDurationMs\":10,\"SessionEndTime\":\"2023-05-04T11:29:14Z\",\"SessionID\":\"18881f179300007fb0d06d6400000001\",\"SessionStartTime\":\"2023-05-04T11:29:14Z\",\"SourceIP\":\"67.43.156.2\",\"SourceInternalIP\":\"1.128.0.1\",\"SourcePort\":52994,\"UserID\":\"166befbb-00e3-5e20-bd6e-27245723949f\",\"VirtualNetworkID\":\"0ce99869-63d3-4d5d-bdaf-d4f33df964aa\"}",
"start": "2023-05-04T11:29:14.000Z",
"type": [
"connection"
]
},
"host": {
"id": "083a8354-d56c-11ed-9771-6a842b100cff",
"name": "zt-test-vm1"
},
"input": {
"type": "http_endpoint"
},
"network": {
"transport": "TCP",
"vlan": {
"id": "0ce99869-63d3-4d5d-bdaf-d4f33df964aa"
}
},
"related": {
"hosts": [
"083a8354-d56c-11ed-9771-6a842b100cff",
"zt-test-vm1"
],
"ip": [
"67.43.156.2",
"89.160.20.129",
"2a02:cf40::23"
],
"user": [
"166befbb-00e3-5e20-bd6e-27245723949f",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"bytes": 2333,
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2",
"port": 52994
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-network_session"
],
"tls": {
"server": {
"issuer": "DigiCert Inc"
}
},
"user": {
"email": "[email protected]",
"id": "166befbb-00e3-5e20-bd6e-27245723949f"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.network_session.account_id |
Cloudflare 帐户 ID。 |
关键字 |
cloudflare_logpush.network_session.destination.bytes |
在网络会话期间,从源站发送到客户端的字节数。 |
长整型 |
cloudflare_logpush.network_session.destination.ip |
网络会话的目标(源)IP。 |
ip |
cloudflare_logpush.network_session.destination.port |
网络会话目标源站的端口。 |
长整型 |
cloudflare_logpush.network_session.destination.tunnel_id |
如果网络会话已路由到 Cloudflare One 连接器,则为连接器的标识符。 |
关键字 |
cloudflare_logpush.network_session.egress.colo_name |
流量从其传出到源站的 Cloudflare 机房名称。 |
关键字 |
cloudflare_logpush.network_session.egress.ip |
在流量从 Cloudflare 传出到源站时使用的源 IP。 |
ip |
cloudflare_logpush.network_session.egress.port |
在流量从 Cloudflare 传出到源站时使用的源端口。 |
长整型 |
cloudflare_logpush.network_session.egress.rule.id |
安全 Web 网关应用的出口规则的标识符(如果有)。 |
关键字 |
cloudflare_logpush.network_session.egress.rule.name |
安全 Web 网关应用的出口规则的名称(如果有)。 |
关键字 |
cloudflare_logpush.network_session.host.id |
发起网络会话的客户端设备的标识符(如果适用)。 |
关键字 |
cloudflare_logpush.network_session.host.name |
发起网络会话的客户端设备的名称(如果适用)。 |
关键字 |
cloudflare_logpush.network_session.ingress.colo_name |
流量传入的 Cloudflare 机房名称。 |
关键字 |
cloudflare_logpush.network_session.offramp |
网络会话路由到的目标类型。 |
关键字 |
cloudflare_logpush.network_session.rule_evaluation.time_ms |
安全 Web 网关将适用的网络、HTTP 和出口规则应用于网络会话所花费的时间(以毫秒为单位)。 |
长整型 |
cloudflare_logpush.network_session.session.end |
网络会话结束时间戳,精度为纳秒。 |
日期 |
cloudflare_logpush.network_session.session.id |
此网络会话的标识符。 |
关键字 |
cloudflare_logpush.network_session.session.start |
网络会话开始时间戳,精度为纳秒。 |
日期 |
cloudflare_logpush.network_session.source.bytes |
在网络会话期间,从客户端发送到源站的字节数。 |
长整型 |
cloudflare_logpush.network_session.source.internal_ip |
设备的本地 LAN IP。仅当通过 GRE/IPsec 隧道入口连接时可用。 |
ip |
cloudflare_logpush.network_session.source.ip |
网络会话的源 IP。 |
ip |
cloudflare_logpush.network_session.source.port |
网络会话的源端口。 |
长整型 |
cloudflare_logpush.network_session.tcp.client.handshake_time_ms |
客户端和 Cloudflare 之间 TCP 连接的握手持续时间(以毫秒为单位)。 |
长整型 |
cloudflare_logpush.network_session.tcp.connection.close_reason |
关闭连接的原因,仅适用于 TCP。 |
关键字 |
cloudflare_logpush.network_session.tcp.connection.reuse |
TCP 连接是否被重用于多个 HTTP 请求。 |
布尔值 |
cloudflare_logpush.network_session.timestamp |
网络会话开始时间戳,精度为纳秒。 |
日期 |
cloudflare_logpush.network_session.tls.client.cipher |
客户端和 Cloudflare 之间连接中使用的 TLS 密码套件。 |
关键字 |
cloudflare_logpush.network_session.tls.client.handshake_time_ms |
客户端与 Cloudflare 之间 TLS 连接握手的持续时间,以毫秒为单位。 |
长整型 |
cloudflare_logpush.network_session.tls.client.version |
客户端与 Cloudflare 之间连接使用的 TLS 协议版本。 |
关键字 |
cloudflare_logpush.network_session.tls.server.certificate.issuer |
源 TLS 证书的颁发者。 |
关键字 |
cloudflare_logpush.network_session.tls.server.certificate.validation_result |
验证源的 TLS 证书的结果。 |
关键字 |
cloudflare_logpush.network_session.tls.server.cipher |
Cloudflare 与源之间连接使用的 TLS 密码套件。 |
关键字 |
cloudflare_logpush.network_session.tls.server.handshake_time_ms |
Cloudflare 与源之间 TLS 连接握手的持续时间,以毫秒为单位。 |
长整型 |
cloudflare_logpush.network_session.tls.server.version |
Cloudflare 与源之间连接使用的 TLS 协议版本。 |
关键字 |
cloudflare_logpush.network_session.transport |
此网络会话使用的网络协议。 |
关键字 |
cloudflare_logpush.network_session.user.email |
与发起网络会话的用户身份关联的电子邮件地址。 |
关键字 |
cloudflare_logpush.network_session.user.id |
发起网络会话的用户身份。 |
关键字 |
cloudflare_logpush.network_session.vlan.id |
为客户端配置的虚拟网络的标识符。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
sinkhole_http
编辑这是 sinkhole_http 数据集。
示例
sinkhole_http 的示例事件如下所示
{
"@timestamp": "2023-09-19T12:00:00.000Z",
"agent": {
"ephemeral_id": "401e5b5a-23fc-42e7-9e69-24d66d61a929",
"id": "e0bfaeb7-64d9-40b9-8534-3d0e780f33cf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"sinkhole_http": {
"account_id": "AC123456",
"destination": {
"ip": "89.160.20.129"
},
"host": {
"name": "example.com"
},
"request": {
"body": {
"bytes": 39,
"content": "{\"action\": \"login\", \"user\": \"john_doe\"}"
},
"headers": [
"Host: example.com",
"User-Agent: Mozilla/5.0",
"Accept: */*",
"Connection: keep-alive"
],
"method": "POST",
"password": "password123",
"referrer": "https://searchengine.com/",
"uri": "/api/v1/login",
"url": "https://example.com/api/v1/login"
},
"sinkhole_id": "SH001",
"source": {
"ip": "67.43.156.2"
},
"timestamp": "2023-09-19T12:00:00.000Z",
"user": {
"name": "john_doe"
},
"user_agent": "Mozilla/5.0"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.sinkhole_http",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e0bfaeb7-64d9-40b9-8534-3d0e780f33cf",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.sinkhole_http",
"ingested": "2023-09-22T16:58:44Z",
"kind": "event",
"original": "{\"AccountID\":\"AC123456\",\"Body\":\"{\\\"action\\\": \\\"login\\\", \\\"user\\\": \\\"john_doe\\\"}\",\"BodyLength\":39,\"DestAddr\":\"89.160.20.129\",\"Headers\":\"Host: example.com\\nUser-Agent: Mozilla/5.0\\nAccept: */*\\nConnection: keep-alive\",\"Host\":\"example.com\",\"Method\":\"POST\",\"Password\":\"password123\",\"R2Path\":\"\",\"Referrer\":\"https://searchengine.com/\",\"SinkholeID\":\"SH001\",\"SrcAddr\":\"67.43.156.2\",\"Timestamp\":\"2023-09-19T12:00:00Z\",\"URI\":\"/api/v1/login\",\"URL\":\"https://example.com/api/v1/login\",\"UserAgent\":\"Mozilla/5.0\",\"Username\":\"john_doe\"}",
"type": [
"info"
]
},
"host": {
"name": "example.com"
},
"http": {
"request": {
"body": {
"bytes": 39,
"content": "{\"action\": \"login\", \"user\": \"john_doe\"}"
},
"method": "POST",
"referrer": "https://searchengine.com/"
}
},
"input": {
"type": "http_endpoint"
},
"related": {
"hosts": [
"example.com"
],
"ip": [
"89.160.20.129",
"67.43.156.2"
],
"user": [
"john_doe"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-sinkhole_http"
],
"url": {
"domain": "example.com",
"original": "https://example.com/api/v1/login",
"path": "/api/v1/login",
"scheme": "https"
},
"user": {
"name": "john_doe"
},
"user_agent": {
"device": {
"name": "Other"
},
"name": "Other",
"original": "Mozilla/5.0"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.sinkhole_http.account_id |
账户 ID。 |
关键字 |
cloudflare_logpush.sinkhole_http.destination.ip |
请求的目标 IP 地址。 |
ip |
cloudflare_logpush.sinkhole_http.host.name |
发送请求的主机。 |
关键字 |
cloudflare_logpush.sinkhole_http.r2path |
指向 R2 存储桶中对象的路径,该存储桶链接到此 Sinkhole,用于存储溢出的正文和标头数据。如果标头或正文均未大于 256 字节,则为空白。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.body.bytes |
请求正文的长度。 |
长整型 |
cloudflare_logpush.sinkhole_http.request.body.content |
请求正文。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.headers |
请求标头。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.method |
请求方法。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.password |
请求密码。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.referrer |
请求的引用者。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.uri |
请求的统一资源标识符。 |
关键字 |
cloudflare_logpush.sinkhole_http.request.url |
请求的统一资源定位符。 |
关键字 |
cloudflare_logpush.sinkhole_http.sinkhole_id |
记录 HTTP 请求的 Sinkhole 的 ID。 |
关键字 |
cloudflare_logpush.sinkhole_http.source.ip |
请求的源 IP 地址。 |
ip |
cloudflare_logpush.sinkhole_http.timestamp |
记录 sinkhole HTTP 请求的日期和时间。 |
日期 |
cloudflare_logpush.sinkhole_http.user.name |
请求用户名。 |
关键字 |
cloudflare_logpush.sinkhole_http.user_agent |
请求用户代理。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
spectrum_event
编辑这是 spectrum_event 数据集。
示例
spectrum_event 的示例事件如下所示
{
"@timestamp": "2022-05-26T09:24:00.000Z",
"agent": {
"ephemeral_id": "31a8fb43-c23a-4e77-9efd-1b215a6f0d27",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"spectrum_event": {
"action": "connect",
"application": "7ef659a2f8ef4810a9bade96fdad7c75",
"client": {
"asn": 200391,
"bytes": 0,
"country": "bg",
"ip": "67.43.156.0",
"matched_ip_firewall": "UNKNOWN",
"port": 40456,
"protocol": "tcp",
"tcp_rtt": 0,
"tls": {
"cipher": "UNK",
"client_hello_server_name": "server name",
"protocol": "unknown",
"status": "UNKNOWN"
}
},
"colo": {
"code": "SOF"
},
"connect": {
"time": "2022-05-26T09:24:00.000Z"
},
"disconnect": {
"time": "1970-01-01T00:00:00.000Z"
},
"ip_firewall": false,
"origin": {
"bytes": 0,
"ip": "175.16.199.0",
"port": 3389,
"protocol": "tcp",
"tcp_rtt": 0,
"tls": {
"cipher": "UNK",
"fingerprint": "0000000000000000000000000000000000000000000000000000000000000000.",
"mode": "off",
"protocol": "unknown",
"status": "UNKNOWN"
}
},
"proxy": {
"protocol": "off"
},
"status": 0,
"timestamp": "2022-05-26T09:24:00.000Z"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.spectrum_event",
"namespace": "ep",
"type": "logs"
},
"destination": {
"bytes": 0,
"ip": "175.16.199.0",
"port": 3389
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "connect",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "cloudflare_logpush.spectrum_event",
"end": "1970-01-01T00:00:00.000Z",
"id": "7ef659a2f8ef4810a9bade96fdad7c75",
"ingested": "2023-09-25T18:35:50Z",
"kind": "event",
"original": "{\"Application\":\"7ef659a2f8ef4810a9bade96fdad7c75\",\"ClientAsn\":200391,\"ClientBytes\":0,\"ClientCountry\":\"bg\",\"ClientIP\":\"67.43.156.0\",\"ClientMatchedIpFirewall\":\"UNKNOWN\",\"ClientPort\":40456,\"ClientProto\":\"tcp\",\"ClientTcpRtt\":0,\"ClientTlsCipher\":\"UNK\",\"ClientTlsClientHelloServerName\":\"server name\",\"ClientTlsProtocol\":\"unknown\",\"ClientTlsStatus\":\"UNKNOWN\",\"ColoCode\":\"SOF\",\"ConnectTimestamp\":\"2022-05-26T09:24:00Z\",\"DisconnectTimestamp\":\"1970-01-01T00:00:00Z\",\"Event\":\"connect\",\"IpFirewall\":false,\"OriginBytes\":0,\"OriginIP\":\"175.16.199.0\",\"OriginPort\":3389,\"OriginProto\":\"tcp\",\"OriginTcpRtt\":0,\"OriginTlsCipher\":\"UNK\",\"OriginTlsFingerprint\":\"0000000000000000000000000000000000000000000000000000000000000000.\",\"OriginTlsMode\":\"off\",\"OriginTlsProtocol\":\"unknown\",\"OriginTlsStatus\":\"UNKNOWN\",\"ProxyProtocol\":\"off\",\"Status\":0,\"Timestamp\":\"2022-05-26T09:24:00Z\"}",
"start": "2022-05-26T09:24:00.000Z",
"type": [
"info"
]
},
"http": {
"response": {
"status_code": 0
}
},
"input": {
"type": "http_endpoint"
},
"network": {
"community_id": "1:X7lywUVKlduqRq5SyCRaBj4hLP0=",
"transport": "tcp"
},
"related": {
"ip": [
"67.43.156.0",
"175.16.199.0"
]
},
"source": {
"as": {
"number": 200391
},
"bytes": 0,
"geo": {
"country_iso_code": "bg"
},
"ip": "67.43.156.0",
"port": 40456
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-spectrum_event"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.spectrum_event.action |
事件操作。 |
关键字 |
cloudflare_logpush.spectrum_event.application |
发生事件的应用程序的唯一公共 ID。 |
关键字 |
cloudflare_logpush.spectrum_event.client.asn |
客户端 AS 号。 |
长整型 |
cloudflare_logpush.spectrum_event.client.bytes |
Spectrum 服务从客户端读取的字节数。 |
长整型 |
cloudflare_logpush.spectrum_event.client.country |
客户端 IP 地址的国家/地区。 |
关键字 |
cloudflare_logpush.spectrum_event.client.ip |
客户端 IP 地址。 |
ip |
cloudflare_logpush.spectrum_event.client.matched_ip_firewall |
连接是否与任何 IP 防火墙规则匹配。 |
关键字 |
cloudflare_logpush.spectrum_event.client.port |
客户端端口。 |
长整型 |
cloudflare_logpush.spectrum_event.client.protocol |
客户端使用的传输协议。 |
关键字 |
cloudflare_logpush.spectrum_event.client.tcp_rtt |
客户端和 Spectrum 之间的 TCP 往返时间(以纳秒为单位)。 |
长整型 |
cloudflare_logpush.spectrum_event.client.tls.cipher |
客户端和 Spectrum 之间协商的密码。 |
关键字 |
cloudflare_logpush.spectrum_event.client.tls.client_hello_server_name |
从客户端到 Spectrum 的 Client Hello 消息中的服务器名称。 |
关键字 |
cloudflare_logpush.spectrum_event.client.tls.protocol |
客户端和 Spectrum 之间协商的 TLS 版本。 |
关键字 |
cloudflare_logpush.spectrum_event.client.tls.status |
指示从客户端到 Spectrum 的 TLS 会话状态。 |
关键字 |
cloudflare_logpush.spectrum_event.colo.code |
接收请求的数据中心的 IATA 机场代码。 |
关键字 |
cloudflare_logpush.spectrum_event.connect.time |
建立连接的两个分支(客户端/边缘,边缘/源或下一跳)的时间戳。 |
日期 |
cloudflare_logpush.spectrum_event.disconnect.time |
连接关闭的时间戳。 |
日期 |
cloudflare_logpush.spectrum_event.ip_firewall |
连接时是否启用了 IP 防火墙。 |
布尔值 |
cloudflare_logpush.spectrum_event.origin.bytes |
Spectrum 从源读取的字节数。 |
长整型 |
cloudflare_logpush.spectrum_event.origin.ip |
源 IP 地址。 |
ip |
cloudflare_logpush.spectrum_event.origin.port |
源端口。 |
长整型 |
cloudflare_logpush.spectrum_event.origin.protocol |
源使用的传输协议。 |
关键字 |
cloudflare_logpush.spectrum_event.origin.tcp_rtt |
Spectrum 与源之间的 TCP 往返时间(以纳秒为单位)。 |
长整型 |
cloudflare_logpush.spectrum_event.origin.tls.cipher |
Spectrum 与源之间协商的密码。 |
关键字 |
cloudflare_logpush.spectrum_event.origin.tls.fingerprint |
源证书的 SHA256 哈希值。 |
关键字 |
cloudflare_logpush.spectrum_event.origin.tls.mode |
上游连接是否以及如何加密。 |
关键字 |
cloudflare_logpush.spectrum_event.origin.tls.protocol |
Spectrum 与源之间协商的 TLS 版本。 |
关键字 |
cloudflare_logpush.spectrum_event.origin.tls.status |
从 Spectrum 到源的 TLS 会话状态。 |
关键字 |
cloudflare_logpush.spectrum_event.proxy.protocol |
哪种形式的代理协议应用于给定的连接。 |
关键字 |
cloudflare_logpush.spectrum_event.status |
指示连接关闭原因的代码。 |
长整型 |
cloudflare_logpush.spectrum_event.timestamp |
事件发生的时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键字 |
workers_trace
编辑这是 workers_trace 数据集。
示例
workers_trace 的示例事件如下所示
{
"@timestamp": "2023-07-20T11:35:46.804Z",
"agent": {
"ephemeral_id": "8751a11c-8e78-408c-83b8-382198fcddf8",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"cloudflare_logpush": {
"workers_trace": {
"dispatch_namespace": "my-worker-dispatch",
"event": {
"ray_id": "7e9ae7157ac0c33a",
"request": {
"method": "GET",
"url": "http://chat-gpt-little-butterfly-0c3d.example.workers.dev/v2/_catalog"
},
"response": {
"status": 404
}
},
"exceptions": [
{
"message": "Uncaught TypeError: Cannot read property 'x' of undefined",
"stack": "TypeError: Cannot read property 'x' of undefined\n at fetchHandler (/workers/script.js:12:27)\n at handleRequest (/workers/script.js:6:13)"
}
],
"logs": [
{
"level": "info",
"message": "Request received for /api/data"
},
{
"level": "error",
"message": "Something went wrong"
}
],
"outcome": "exception",
"script": {
"name": "chat-gpt-little-butterfly-0c3d",
"tags": [
"api",
"chatgpt"
]
},
"timestamp": "2023-07-20T11:35:46.804Z",
"type": "fetch"
}
},
"data_stream": {
"dataset": "cloudflare_logpush.workers_trace",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "fetch",
"agent_id_status": "verified",
"category": [
"web"
],
"dataset": "cloudflare_logpush.workers_trace",
"id": "7e9ae7157ac0c33a",
"ingested": "2023-09-25T18:37:08Z",
"kind": "event",
"original": "{\"DispatchNamespace\":\"my-worker-dispatch\",\"Event\":{\"RayID\":\"7e9ae7157ac0c33a\",\"Request\":{\"Method\":\"GET\",\"URL\":\"http://chat-gpt-little-butterfly-0c3d.example.workers.dev/v2/_catalog\"},\"Response\":{\"Status\":404}},\"EventTimestampMs\":1689852946804,\"EventType\":\"fetch\",\"Exceptions\":[{\"Message\":\"Uncaught TypeError: Cannot read property 'x' of undefined\",\"Stack\":\"TypeError: Cannot read property 'x' of undefined\\n at fetchHandler (/workers/script.js:12:27)\\n at handleRequest (/workers/script.js:6:13)\"}],\"Logs\":[{\"level\":\"info\",\"message\":\"Request received for /api/data\"},{\"level\":\"error\",\"message\":\"Something went wrong\"}],\"Outcome\":\"exception\",\"ScriptName\":\"chat-gpt-little-butterfly-0c3d\",\"ScriptTags\":[\"api\",\"chatgpt\"]}",
"outcome": "failure",
"type": [
"info",
"error"
]
},
"http": {
"request": {
"method": "GET"
},
"response": {
"status_code": 404
}
},
"input": {
"type": "http_endpoint"
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"cloudflare_logpush-workers_trace"
],
"url": {
"domain": "chat-gpt-little-butterfly-0c3d.example.workers.dev",
"original": "http://chat-gpt-little-butterfly-0c3d.example.workers.dev/v2/_catalog",
"path": "/v2/_catalog",
"scheme": "http"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloudflare_logpush.workers_trace.dispatch_namespace |
Cloudflare Worker 调度命名空间。 |
关键字 |
cloudflare_logpush.workers_trace.event |
有关源事件的详细信息。 |
已扁平化 |
cloudflare_logpush.workers_trace.exceptions |
调用期间未捕获的异常列表。 |
已扁平化 |
cloudflare_logpush.workers_trace.logs |
调用期间发出的控制台消息列表。 |
已扁平化 |
cloudflare_logpush.workers_trace.outcome |
worker 脚本调用的结果。可能的值为 ok |
exception。 |
关键字 |
cloudflare_logpush.workers_trace.script.name |
Cloudflare Worker 脚本名称。 |
关键字 |
cloudflare_logpush.workers_trace.script.tags |
用于对 Worker 进行分类的用户定义标签列表。 |
关键字 |
cloudflare_logpush.workers_trace.timestamp |
接收事件的时间戳。 |
日期 |
cloudflare_logpush.workers_trace.type |
触发调用的事件类型。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.27.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.26.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.22.0 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.17.4 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.3 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.2 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.3.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.2.1 |
缺陷修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.1.1 |
缺陷修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.1 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.1 |
缺陷修复 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1 |
缺陷修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |