- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
CoreDNS 集成
编辑CoreDNS 集成
编辑此集成解析来自 CoreDNS 实例的日志。
兼容性
编辑此集成旨在读取在 Kubernetes 集群中运行或通过 systemd 运行且日志输出到 journald 的 CoreDNS 日志。 CoreDNS 数据集已使用 1.9.3 和 1.10.0 版本进行了测试。
日志
编辑日志数据流期望来自 CoreDNS errors 插件和 log 插件的日志。来自 log 插件的查询日志可以是 common 或 combined 格式(详细信息请参见 日志格式)。启用日志记录的示例配置为
. { forward . 8.8.8.8 errors log }
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
关键词 |
coredns.log.buffer_size |
查询中通告的 EDNS0 缓冲区大小 |
长整数 |
coredns.log.dnssec_ok |
DO 位包含在 DNS 查询中,是“DNSSEC OK”的缩写。如果设置了 DO 位 (DO=1),则客户端是支持 DNSSEC 的,并且 DNS 服务器可以在响应中返回 DNSSEC 数据。如果未设置 DO 位 (DO=0),则客户端不支持 DNSSEC,并且 DNS 服务器不得在 DNS 响应中包含任何 DNSSEC 数据。 |
布尔值 |
coredns.log.error.message |
错误消息 |
文本 |
data_stream.dataset |
数据流数据集。 |
常量关键词 |
data_stream.namespace |
数据流命名空间。 |
常量关键词 |
data_stream.type |
数据流类型。 |
常量关键词 |
event.dataset |
事件数据集 |
常量关键词 |
event.module |
事件模块 |
常量关键词 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
input.type |
输入类型 |
关键词 |
kubernetes.container.name |
Kubernetes 容器名称 |
关键词 |
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
kubernetes.namespace |
Kubernetes 命名空间 |
关键词 |
kubernetes.node.name |
Kubernetes 节点名称 |
关键词 |
kubernetes.pod.name |
Kubernetes Pod 名称 |
关键词 |
kubernetes.pod.uid |
Kubernetes Pod UID |
关键词 |
kubernetes.replicaset.name |
Kubernetes 副本集名称 |
关键词 |
log.file.device_id |
包含文件所在的 文件系统的设备的 ID。 |
关键词 |
log.file.fingerprint |
启用指纹识别时文件的 sha256 指纹标识。 |
关键词 |
log.file.idxhi |
与文件关联的唯一标识符的高位部分。(仅限 Windows) |
关键词 |
log.file.idxlo |
与文件关联的唯一标识符的低位部分。(仅限 Windows) |
关键词 |
log.file.inode |
日志文件的索引节点号。 |
关键词 |
log.file.vol |
包含文件的卷的序列号。(仅限 Windows) |
关键词 |
log.offset |
日志偏移量 |
长整数 |
示例
log 的示例事件如下
{ "@timestamp": "2023-09-27T18:59:58.096Z", "agent": { "ephemeral_id": "bbb180b6-3756-4f5b-81d5-6e333e740796", "id": "86a82f91-ff66-4d28-ab7c-eb9350f317ed", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.10.1" }, "coredns": { "log": { "buffer_size": 1232, "dnssec_ok": false } }, "data_stream": { "dataset": "coredns.log", "namespace": "ep", "type": "logs" }, "destination": { "bytes": 65 }, "dns": { "header_flags": [ "RD", "RA" ], "id": "58521", "question": { "class": "IN", "name": "google.com", "registered_domain": "google.com", "top_level_domain": "com", "type": "A" }, "response_code": "NOERROR" }, "ecs": { "version": "8.11.0" }, "elastic_agent": { "id": "86a82f91-ff66-4d28-ab7c-eb9350f317ed", "snapshot": false, "version": "8.10.1" }, "event": { "agent_id_status": "verified", "category": [ "network" ], "created": "2023-09-27T18:59:58.096Z", "dataset": "coredns.log", "duration": 32133957.999999996, "ingested": "2023-09-27T18:59:59Z", "kind": "event", "original": "[INFO] 192.168.112.3:45632 - 58521 \"A IN google.com. udp 51 false 1232\" NOERROR qr,rd,ra 65 0.032133958s", "outcome": "success", "type": [ "protocol" ] }, "host": { "architecture": "aarch64", "containerized": false, "hostname": "docker-fleet-agent", "id": "ddbe644fa129402e9d5cf6452db1422d", "ip": [ "172.31.0.7" ], "mac": [ "02-42-AC-1F-00-07" ], "name": "docker-fleet-agent", "os": { "codename": "focal", "family": "debian", "kernel": "5.15.49-linuxkit", "name": "Ubuntu", "platform": "ubuntu", "type": "linux", "version": "20.04.6 LTS (Focal Fossa)" } }, "input": { "type": "filestream" }, "log": { "file": { "device_id": 141, "inode": 18614042, "path": "/tmp/service_logs/coredns.log" }, "level": "info", "offset": 67 }, "network": { "bytes": 116, "iana_number": "17", "protocol": "dns", "transport": "udp" }, "related": { "hosts": [ "google.com" ], "ip": [ "192.168.112.3" ] }, "source": { "address": "192.168.112.3", "bytes": 51, "ip": "192.168.112.3", "port": 45632 }, "tags": [ "preserve_original_event", "coredns-log" ] }
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
0.9.0 |
增强功能 (查看拉取请求) |
— |
0.8.0 |
增强功能 (查看拉取请求) |
— |
0.7.0 |
增强功能 (查看拉取请求) |
— |
0.6.1 |
缺陷修复 (查看拉取请求) |
— |
0.6.0 |
增强功能 (查看拉取请求) |
— |
0.5.0 |
增强功能 (查看拉取请求) |
— |
0.4.0 |
增强功能 (查看拉取请求) |
— |
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.2 |
缺陷修复 (查看拉取请求) |
— |
0.2.1 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |