› ›

DNS

版本	2.39.0 (查看全部)
兼容的 Kibana 版本	8.13.0 或更高版本
支持的无服务器项目类型这是什么？	安全性可观测性
订阅级别这是什么？	基本

日志

编辑

dns 数据集收集名称服务器为您的虚拟私有云 (VPC) 网络解析的查询，以及从外部实体直接到公共区域的查询。

ECS 字段参考

有关 ECS 字段的详细信息，请参阅以下文档。

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	date
cloud.image.id	云实例的镜像 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
event.dataset	事件数据集	constant_keyword
event.module	事件模块	constant_keyword
gcp.dns.auth_answer	权威答案。	boolean
gcp.dns.destination_ip	目标 IP 地址，仅适用于转发情况。	ip
gcp.dns.egress_error	出口代理错误。	keyword
gcp.dns.flattened	包含 GCP 发送的完整 DNS 文档。	flattened
gcp.dns.protocol	协议 TCP 或 UDP。	keyword
gcp.dns.query_name	DNS 查询名称。	keyword
gcp.dns.query_type	DNS 查询类型。	keyword
gcp.dns.rdata	DNS 答案，以展示格式呈现，截断为 260 字节。	keyword
gcp.dns.response_code	响应代码。	keyword
gcp.dns.server_latency	服务器延迟。	integer
gcp.dns.source_ip	查询的源 IP 地址。	ip
gcp.dns.source_network	查询的源网络。	keyword
gcp.dns.source_type	生成 DNS 查询的源类型：private-zone、public-zone、forwarding-zone、forwarding-policy、peering-zone、internal、external、internet	keyword
gcp.dns.target_type	解析 DNS 查询的目标类型：private-zone、public-zone、forwarding-zone、forwarding-policy、peering-zone、internal、external、internet	keyword
gcp.dns.vm_instance_id	Compute Engine VM 实例 ID，仅适用于由 Compute Engine VM 发起的查询。	keyword
gcp.dns.vm_instance_name	Compute Engine VM 实例名称，仅适用于由 Compute Engine VM 发起的查询。	keyword
gcp.dns.vm_project_id	Google Cloud 项目 ID，仅适用于由 Compute Engine VM 发起的查询。	keyword
gcp.dns.vm_zone_name	Google Cloud VM 区域，仅适用于由 Compute Engine VM 发起的查询。	keyword
host.containerized	主机是否为容器。	boolean
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
input.type	输入类型	keyword
log.offset	日志偏移量	long

示例

dns 的示例事件如下所示

{
    "@timestamp": "2021-12-12T15:59:40.446Z",
    "agent": {
        "ephemeral_id": "fd6c4189-cbc6-493a-acfb-c9e7b2b7588c",
        "id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.7.1"
    },
    "cloud": {
        "project": {
            "id": "key-reference-123456"
        },
        "provider": "gcp",
        "region": "global"
    },
    "data_stream": {
        "dataset": "gcp.dns",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "address": "216.239.32.106",
        "ip": "216.239.32.106"
    },
    "dns": {
        "answers": [
            {
                "class": "IN",
                "data": "67.43.156.13",
                "name": "asdf.gcp.example.com.",
                "ttl": 300,
                "type": "A"
            }
        ],
        "question": {
            "name": "asdf.gcp.example.com",
            "registered_domain": "example.com",
            "subdomain": "asdf.gcp",
            "top_level_domain": "com",
            "type": "A"
        },
        "resolved_ip": [
            "67.43.156.13"
        ],
        "response_code": "NOERROR"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
        "snapshot": false,
        "version": "8.7.1"
    },
    "event": {
        "action": "dns-query",
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "created": "2023-10-25T04:19:40.300Z",
        "dataset": "gcp.dns",
        "id": "zir4wud11tm",
        "ingested": "2023-10-25T04:19:41Z",
        "kind": "event",
        "outcome": "success"
    },
    "gcp": {
        "dns": {
            "auth_answer": true,
            "destination_ip": "216.239.32.106",
            "protocol": "UDP",
            "query_name": "asdf.gcp.example.com.",
            "query_type": "A",
            "response_code": "NOERROR",
            "server_latency": 0,
            "source_type": "internet",
            "target_type": "public-zone"
        }
    },
    "input": {
        "type": "gcp-pubsub"
    },
    "log": {
        "level": "INFO",
        "logger": "projects/key-reference-123456/logs/dns.googleapis.com%2Fdns_queries"
    },
    "network": {
        "iana_number": "17",
        "protocol": "dns",
        "transport": "udp"
    },
    "related": {
        "hosts": [
            "asdf.gcp.example.com"
        ],
        "ip": [
            "67.43.156.13",
            "216.239.32.106"
        ]
    },
    "tags": [
        "forwarded",
        "gcp-dns"
    ]
}

更新日志

编辑

更新日志

版本	详情	Kibana 版本
2.39.0	增强 (查看拉取请求) 将 `related.entity` 字段添加到审计日志。	8.13.0 或更高版本
2.38.0	增强 (查看拉取请求) 将 `policy_violation_info`、`metadata` 和 `related` 字段添加到审计日志。 Bug 修复 (查看拉取请求) 更新 GCP 审计日志仪表板以使用正确的 `email` 字段。	8.13.0 或更高版本
2.37.2	Bug 修复 (查看拉取请求) 修复嵌套对象子字段的定义	8.13.0 或更高版本
2.37.1	增强 (查看拉取请求) 改进 GCP 结算文档。	8.13.0 或更高版本
2.37.0	增强 (查看拉取请求) 保留 `authenticationInfo.serviceAccountKeyName` 数据。	8.13.0 或更高版本
2.36.0	增强 (查看拉取请求) 为仪表板添加全局数据集过滤器，以提高性能。	8.13.0 或更高版本
2.35.0	增强 (查看拉取请求) ECS 版本已更新至 8.11.0。将 kibana 约束更新为 ^8.13.0。修改了字段定义以删除 ecs@mappings 组件模板使之冗余的 ECS 字段。	8.13.0 或更高版本
2.34.1	Bug 修复 (查看拉取请求) 修复 persistence.rdb.bgsave_in_progress 的 Redis 指标类型。指标类型应为布尔值而不是长整型。	8.12.0 或更高版本
2.34.0	增强 (查看拉取请求) 向 GCP Compute、Firestore、PostgreSQL 添加标签和处理器。	8.12.0 或更高版本
2.33.2	增强 (查看拉取请求) 向 GCP Storage 添加标签和处理器	8.12.0 或更高版本
2.33.1	增强 (查看拉取请求) 将旧版指标可视化更新为 GCP 结算概览仪表板中的新指标。	8.12.0 或更高版本
2.33.0	增强 (查看拉取请求) 为指标数据流启用时间序列数据。这大大减少了指标的存储，并且预计会逐步提高查询[性能](https://elastic.ac.cn/blog/70-percent-storage-savings-for-metrics-with-elastic-observability)。有关更多详细信息，请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html。	8.12.0 或更高版本
2.32.1	增强 (查看拉取请求) 在所有指标数据流中添加维度映射和 metrics_fingerprint 字段。	8.12.0 或更高版本
2.32.0	增强 (查看拉取请求) 添加新的结算数据流字段。	8.12.0 或更高版本
2.31.2	Bug 修复 (查看拉取请求) 修复解析具有空 rdata 字段的 DNS 日志的管道错误。	8.7.1 或更高版本
2.31.1	增强 (查看拉取请求) 添加 Cloud Run 文档并修复策略模板名称以允许将 Cloud Run 日志添加到策略。	8.7.1 或更高版本
2.31.0	增强 (查看拉取请求) 允许用户保留其他已丢弃的字段。	8.7.1 或更高版本
2.30.1	Bug 修复 (查看拉取请求) 修复组字段的映射	8.7.1 或更高版本
2.30.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便集成仪表板和已保存的搜索标记为“安全解决方案”，并在安全解决方案 UI 中显示。增强 (查看拉取请求) 将软件包规范升级到 3.0.0。 Bug 修复 (查看拉取请求) 修复孤立的仪表板引用。 Bug 修复 (查看拉取请求) 添加缺失的仪表板筛选器。	8.7.1 或更高版本
2.29.1	Bug 修复 (查看拉取请求) 向重命名处理器添加空值检查和 ignore_missing 检查	8.7.1 或更高版本
2.29.0	Bug 修复 (查看拉取请求) 删除 GCP CloudSQL 已弃用、alpha 或 beta 指标，并修复字段类型。	8.7.1 或更高版本
2.28.5	增强 (查看拉取请求) 为 GKE、负载均衡、PubSub、Redis 和存储数据流设置指标类型。	8.7.1 或更高版本
2.28.4	增强 (查看拉取请求) 将 GCP 负载均衡 HTTPS 概览仪表板迁移到 lens。	8.7.1 或更高版本
2.28.3	增强 (查看拉取请求) 为 Cloud Run、Compute、Dataproc 和 Firestore 数据流设置指标类型。	8.7.1 或更高版本
2.28.2	增强 (查看拉取请求) 将 GCP 负载均衡 TCP SSL 代理概览仪表板迁移到 lens。	8.7.1 或更高版本
2.28.1	增强 (查看拉取请求) 为 CloudSQL 数据流设置指标类型。	8.7.1 或更高版本
2.28.0	增强 (查看拉取请求) 将 GCP 负载均衡 L3 概览仪表板迁移到 lens。	8.7.1 或更高版本
2.27.0	增强 (查看拉取请求) 添加 GCP CloudSQL MySQL、SQL Server 和 PostgreSQL 仪表板。	8.7.1 或更高版本
2.26.0	Bug 修复 (查看拉取请求) 修复 GCP loadbalancing_metrics 字段前缀。	8.7.1 或更高版本
2.25.1	Bug 修复 (查看拉取请求) 修复对 gcp.audit.authorization_info[].granted 的检查。	8.7.1 或更高版本
2.25.0	增强 (查看拉取请求) 将 GCP 账单输入控件迁移到新的控制面板。	8.7.1 或更高版本
2.24.0	增强 (查看拉取请求) 添加 GCP CloudSQL MySQL、Postgres、SQLServer 数据流	8.7.1 或更高版本
2.23.0	增强 (查看拉取请求) 将安全仪表板转换为 Lens。	8.7.1 或更高版本
2.22.1	增强 (查看拉取请求) 更改清单中的所有权。	8.6.0 或更高版本
2.22.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.6.0 或更高版本
2.21.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.8.0。	8.6.0 或更高版本
2.20.1	缺陷修复 (查看拉取请求) 修复 persistence.rdb.bgsave_in_progress 字段的无效 TSDS 指标类型	8.6.0 或更高版本
2.20.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.7.0。	8.6.0 或更高版本
2.19.1	增强 (查看拉取请求) 将计算仪表板迁移到 Lens 并添加数据流过滤器。	8.6.0 或更高版本
2.19.0	增强 (查看拉取请求) 添加 Cloud Run 指标数据流。	8.6.0 或更高版本
2.18.0	增强 (查看拉取请求) 为 GCP PubSub 输入支持 `subscription_num_goroutines` 和 `subscription_max_outstanding_messages`	8.6.0 或更高版本
2.17.2	缺陷修复 (查看拉取请求) 修复审核摄取管道中的 IP 转换处理器。	8.6.0 或更高版本
2.17.1	增强 (查看拉取请求) 添加了类别和/或子类别。	8.6.0 或更高版本
2.17.0	增强 (查看拉取请求) 添加审核日志概览仪表板增强 (查看拉取请求) 添加 GKE 概览仪表板增强 (查看拉取请求) 添加 PubSub 概览仪表板增强 (查看拉取请求) 添加存储概览仪表板	8.6.0 或更高版本
2.16.2	缺陷修复 (查看拉取请求) 添加逻辑以处理审核中的标量 request.policy 值	8.5.0 或更高版本
2.16.1	缺陷修复 (查看拉取请求) 用新样式的控件替换丢失的输入控制面板。	8.5.0 或更高版本
2.16.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.6.0。	8.5.0 或更高版本
2.15.2	增强 (查看拉取请求) 更新文档。	8.5.0 或更高版本
2.15.1	增强 (查看拉取请求) 添加 GCP 计算管道测试。	8.5.0 或更高版本
2.15.0	增强 (查看拉取请求) 删除对 Kibana 7.17.x 的支持增强 (查看拉取请求) 支持指标数据流的多个区域	8.5.0 或更高版本
2.14.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.5.0。	8.3.0 或更高版本
2.13.0	增强 (查看拉取请求) 按值迁移仪表板	8.3.0 或更高版本
2.12.1	缺陷修复 (查看拉取请求) 删除重复字段。	7.17.6 或更高版本 8.3.0 或更高版本
2.12.0	增强 (查看拉取请求) 添加 GCP Redis	7.17.6 或更高版本 8.3.0 或更高版本
2.11.12	缺陷修复 (查看拉取请求) 添加 GKE 摄取管道。	7.17.6 或更高版本 8.3.0 或更高版本
2.11.11	缺陷修复 (查看拉取请求) 修复 dns.answers.ttl 的类型。	7.17.6 或更高版本 8.3.0 或更高版本
2.11.10	增强 (查看拉取请求) 添加 dataproc 的摄取管道。增强 (查看拉取请求) 添加 GCP 负载均衡摄取管道增强 (查看拉取请求) 添加 GCP PubSub 摄取管道增强 (查看拉取请求) 添加 GCP 存储摄取管道增强 (查看拉取请求) 添加 GCP Firestore 摄取管道增强 (查看拉取请求) 添加 GCP 计算摄取管道	7.17.6 或更高版本 8.3.0 或更高版本
2.11.10-beta.6	增强 (查看拉取请求) 添加 dataproc 的摄取管道。	—
2.11.10-beta.5	增强 (查看拉取请求) 添加 GCP 负载均衡摄取管道	—
2.11.10-beta.4	增强 (查看拉取请求) 添加 GCP PubSub 摄取管道	—
2.11.10-beta.3	增强 (查看拉取请求) 添加 GCP 存储摄取管道	—
2.11.10-beta.2	增强 (查看拉取请求) 添加 GCP Firestore 摄取管道	—
2.11.10-beta.1	增强 (查看拉取请求) 添加 GCP 计算摄取管道	—
2.11.9	缺陷修复 (查看拉取请求) 修复 GKE kubernetes.io 缩进。	7.17.6 或更高版本 8.3.0 或更高版本
2.11.8	增强 (查看拉取请求) 删除重复字段。	7.17.6 或更高版本 8.3.0 或更高版本
2.11.7	增强 (查看拉取请求) 将 Dataproc 轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.11.6	增强 (查看拉取请求) 将负载均衡轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.11.5	增强 (查看拉取请求) 将存储轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.11.4	增强 (查看拉取请求) 将 PubSub 轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.11.3	增强 (查看拉取请求) 将 GKE 轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.11.2	增强 (查看拉取请求) 将 Firestore 轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.11.1	增强 (查看拉取请求) 使用 ECS geo.location 定义。	7.17.6 或更高版本 8.3.0 或更高版本
2.11.0	增强 (查看拉取请求) 将计算轻量级模块配置移至集成	7.17.6 或更高版本 8.3.0 或更高版本
2.10.0	增强 (查看拉取请求) 添加 GCP PubSub 数据流	7.17.6 或更高版本 8.3.0 或更高版本
2.9.0	增强 (查看拉取请求) 添加 GCP Dataproc 数据流	7.17.6 或更高版本 8.3.0 或更高版本
2.8.0	增强 (查看拉取请求) 添加 GCP GKE 数据流	7.17.6 或更高版本 8.3.0 或更高版本
2.7.0	增强 (查看拉取请求) 添加 GCP 存储数据流	7.17.6 或更高版本 8.3.0 或更高版本
2.6.0	增强 (查看拉取请求) 添加负载均衡日志数据流	7.17.6 或更高版本 8.3.0 或更高版本
2.5.0	增强 (查看拉取请求) 添加 GCP 负载均衡指标集缺陷修复 (查看拉取请求) 修复 loadbalancing_metrics 中的 credentials_json 转义缺陷修复 (查看拉取请求) 将 loadbalancing_metrics 默认周期更新为 60 秒缺陷修复 (查看拉取请求) 修复 loadbalancing_metrics 的 event.dataset 增强 (查看拉取请求) 添加 loadbalancing_metrics 分布字段	7.17.6 或更高版本 8.3.0 或更高版本
2.4.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.4.0	7.17.6 或更高版本 8.3.0 或更高版本
2.3.0	增强 (查看拉取请求) 为 DNS 公共区域查询日志添加其他解析	7.17.6 或更高版本 8.3.0 或更高版本
2.2.1	增强 (查看拉取请求) 修复 gcp.compute 的计费策略模板标题和默认周期	7.17.6 或更高版本 8.3.0 或更高版本
2.2.0	增强 (查看拉取请求) 删除 ECS 字段中重复的字段	7.17.6 或更高版本 8.3.0 或更高版本
2.1.0	增强 (foobar[查看拉取请求]) 恢复与 7.17 版本系列的兼容性	7.17.6 或更高版本 8.3.0 或更高版本
2.0.0	重大更改 (查看拉取请求) 移动配置以支持指标。此更改是重大更改，因为它将一些配置从顶级变量移动到数据流变量。此更改涉及 `project_id`、`credentials_file` 和 `credentials_json` 变量，这些变量从输入级别配置移动到包级别配置（因为这些变量在所有输入/数据流中重用）。启用 GCP 集成的用户在将策略升级到此版本时需要再次输入这些变量的值。增强 (查看拉取请求) 添加 GCP 计费数据流增强 (查看拉取请求) 添加 GCP 计算数据流增强 (查看拉取请求) 添加 GCP Firestore 数据流	8.3.0 或更高版本
1.10.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.3.0。	7.17.0 或更高版本 8.0.0 或更高版本
1.9.2	Bug 修复 (查看拉取请求) 修复响应状态的 GCP 审计日志解析问题	7.17.0 或更高版本 8.0.0 或更高版本
1.9.1	增强 (查看拉取请求) 更新自述文件	7.17.0 或更高版本 8.0.0 或更高版本
1.9.0	增强 (查看拉取请求) 在扁平化字段中保留请求和响应。	7.17.0 或更高版本 8.0.0 或更高版本
1.8.0	增强 (查看拉取请求) 添加缺少的 `cloud.provider` 字段。	7.17.0 或更高版本 8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 为防火墙和 vpc 流日志添加仪表板。 Bug 修复 (查看拉取请求) 为多个 `event.*` 字段添加缺少的映射。	—
1.6.1	增强 (查看拉取请求) 阐明 Pub/Sub 输入所需的 GCP 权限。	7.16.3 或更高版本 8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 更新到 ECS 8.2	—
1.5.1	增强 (查看拉取请求) 添加多字段文档	7.16.3 或更高版本 8.0.0 或更高版本
1.5.0	增强 (查看拉取请求) 改进 Google Cloud Platform 文档。	7.16.3 或更高版本 8.0.0 或更高版本
1.4.2	Bug 修复 (查看拉取请求) 删除空值、仅包含点的名称和无效的客户端 IP。	7.16.3 或更高版本 8.0.0 或更高版本
1.4.1	Bug 修复 (查看拉取请求) 修复策略模板中 credentials_json 值的引号。	7.16.3 或更高版本 8.0.0 或更高版本
1.4.0	增强 (查看拉取请求) 添加 gcp.dns 集成	—
1.3.1	Bug 修复 (查看拉取请求) 添加 Ingest Pipeline 脚本以映射 IANA 协议号	7.15.0 或更高版本 8.0.0 或更高版本
1.3.0	增强 (查看拉取请求) 更新到 ECS 8.0	7.15.0 或更高版本 8.0.0 或更高版本
1.2.2	Bug 修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	7.15.0 或更高版本 8.0.0 或更高版本
1.2.1	Bug 修复 (查看拉取请求) 将测试公共 IP 更改为支持的子集	—
1.2.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	7.15.0 或更高版本 8.0.0 或更高版本
1.1.2	增强 (查看拉取请求) 更新标题和描述。	7.15.0 或更高版本
1.1.1	Bug 修复 (查看拉取请求) 修复检查转发标签的逻辑	—
1.1.0	增强 (查看拉取请求) 更新到 ECS 1.12.0	7.15.0 或更高版本
1.0.0	增强 (查看拉取请求) 从实验性版本移至 GA 版本增强 (查看拉取请求) 从 data_sets 中删除 experimental	—
0.3.3	增强 (查看拉取请求) 转换为生成的 ECS 字段	—
0.3.2	增强 (查看拉取请求) 更新到 ECS 1.11.0	—
0.3.1	增强 (查看拉取请求) 转义文档中的特殊字符	—
0.3.0	增强 (查看拉取请求) 更新集成描述	—
0.2.0	增强 (查看拉取请求) 设置“event.module”和“event.dataset”	—
0.1.0	增强 (查看拉取请求) 更新到 ECS 1.10.0 并添加 event.original 选项	—
0.0.2	增强 (查看拉取请求) 更新到 ECS 1.9.0	—
0.0.1	增强 (查看拉取请求) 初始版本	—

« Dataproc Firestore »