« CouchDB 集成 CrowdStrike »
Elastic 文档 Elastic 集成

Cribl

编辑

Cribl

编辑

版本

0.4.2 [beta] 此功能为 beta 版本,可能会发生更改。其设计和代码不如官方 GA 功能成熟,按“现状”提供,不提供任何保证。Beta 功能不受官方 GA 功能的支持 SLA 约束。 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Cribl 集成使用户能够将来自 Cribl 的 Elastic 输出的日志提取到 Elastic 的 Fleet 集成数据流中。这使 Cribl 用户能够利用 Elastic Common Schema 的强大功能来解锁预定义的仪表板、警报等。

说明

编辑

  1. 在 Kibana 中安装相关的集成资产

    为了充分利用您的数据,请安装 Fleet 集成资产以将索引模板、提取管道和仪表板加载到 Kibana 中。在 Kibana 中,导航至侧边栏中的 管理 > 集成

    通过搜索或浏览目录查找相关的集成。例如,Cisco ASA 集成。

    Cisco ASA Integration

    导航至 设置 选项卡,然后单击 安装 Cisco ASA 资产。在弹出窗口中单击 安装 Cisco ASA 以确认。

    Install Cisco ASA assets

  2. 配置 Cribl 集成

    1. 向 Cribl 源添加信息字段

      配置 Cribl 源以在 _dataId 字段中指定数据源。

      Configure Cribl Source fields

      有关配置源的更多信息,请参阅 Cribl 数据载入

    2. 在 Kibana 中配置 Cribl 集成

      将上述步骤中配置的每个 _dataId 映射到预安装的 Fleet 集成的数据库流。

      Configure Elastic Cribl Integration

      Cribl 集成不需要 Elastic Agent,但在设置 Cribl 集成时必须配置策略。

  3. 在 Cribl 中配置 Elastic 目标

    Cribl 提供了两种将数据发送到 Elastic 的选项:用于云环境的 Elastic Cloud 输出和用于自我管理的 Elasticsearch 输出。有关如何配置的更多详细信息,请参阅 Cribl Elastic Cloud 文档Cribl Elasticsearch 文档

    目标设置

    1. 将 Cloud 目标的 Cloud ID 或 Elasticsearch 目标的 批量 API URL 设置为指向您的 Elastic 集群。
    2. 索引或数据流 设置为 logs-cribl-default
    3. API 密钥 应该是 Base64 编码的 Elastic API 密钥,您可以通过按照 管理 > 堆栈管理 > 安全 > API 密钥 下的说明在 Kibana 中创建该密钥。如果您正在使用带有“限制权限”的 API 密钥,请务必查看索引权限,以便为 logs-* 索引提供至少“auto_configure”和“write”权限,您将使用这些索引进行 Fleet 集成数据流。

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

0.4.2

错误修复 (查看拉取请求)
在引用提取管道中的变量时,使用三重大括号 Mustache 模板。

0.4.1

错误修复 (查看拉取请求)
更新文档

0.4.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。删除了 import_mappings。修改了字段定义,以删除 ecs@mappings 组件模板使其多余的 ECS 字段。

0.3.0

增强功能 (查看拉取请求)
将清单格式版本更新至 v3.0.3。

0.2.0

增强功能 (查看拉取请求)
添加了 Cribl 包的第二阶段

0.1.2

增强功能 (查看拉取请求)
更改了所有者

0.1.1

增强功能 (查看拉取请求)
更新文档

0.1.0

增强功能 (查看拉取请求)
添加了 Cribl 包的第一阶段

« CouchDB 集成 CrowdStrike »