« Fortinet FortiProxy 集成 GitHub 集成 »
Elastic 文档 Elastic 集成

Gigamon 集成

编辑

Gigamon 集成

编辑

版本

1.2.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

合作伙伴

Gigamon 利用深度包检测 (DPI) 从网络中的原始数据包中提取超过 7500 多个与应用程序相关的元数据属性。Gigamon Elastic 集成在整个企业范围内提供智能安全分析和威胁情报,您将获得一个用于攻击检测、威胁可见性、主动狩猎和威胁响应的单一解决方案。

数据流

编辑

Cybereason 集成从 Gigamon 收集以下日志

  • ami

要求

编辑

必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅Elastic Agent 安装指南

安装和管理 Elastic Agent

编辑

有几种安装和管理 Elastic Agent 的选项

安装由 Fleet 管理的 Elastic Agent(推荐)

编辑

使用此方法,您可以安装 Elastic Agent,并在 Kibana 中使用 Fleet 在中心位置定义、配置和管理您的 Agent。我们建议使用 Fleet 管理,因为它使您的 Agent 的管理和升级变得更加容易。

以独立模式安装 Elastic Agent(高级用户)

编辑

使用此方法,您可以安装 Elastic Agent,并在安装它的系统上手动配置 Agent。您负责管理和升级 Agent。此方法仅适用于高级用户。

在容器化环境中安装 Elastic Agent

编辑

您可以在容器内运行 Elastic Agent,无论是使用 Fleet Server 还是独立运行。所有版本的 Elastic Agent 的 Docker 映像均可从 Elastic Docker 注册表中获取,并且我们提供在 Kubernetes 上运行的部署清单。

请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅Elastic Agent 最低要求

设置

编辑

Gigamon 设置

编辑

要将数据导出到 Gigamon Elastic 集成。

  1. 从 Fabric Manager 中,部署一个 AMX 节点,流量采集方法为“客户编排源”。
  2. 创建一个监控会话 (Rep In ---→ AMX --→ Rep Out)。

要添加 AMX 应用程序

  1. 将“应用程序元数据导出器”从“应用程序”拖放到图形工作区。将出现“应用程序快速视图”。
  2. 输入应用程序的别名。为“云工具引入端口”输入端口号。然后,单击“添加”按钮以获取“云工具导出”。

  3. 您可以将您的应用程序元数据智能输出导出到云工具。在“应用程序快速视图”中输入以下云工具导出详细信息

    • 别名:输入云工具导出的别名。
    • 云工具:从下拉菜单中选择云工具。如果它不可用,请单击“其他”。
    • 端点:提供云工具实例的 URL,其中包含正在侦听的正确端口号。
    • 标头:输入密钥标头并启用安全密钥
    • 启用导出:启用该框以 JSON 格式导出应用程序元数据智能输出。
    • 压缩:启用该框以压缩输出文件。
    • 间隔:定期上传数据的间隔时间(以秒为单位)。建议的最小时间间隔为 10 秒,最大时间间隔为 30 分钟。
    • 并行写入器:指定同时完成的 JSON 导出数量。
    • 导出重试:应用程序尝试将条目导出到云工具的次数。建议的最小值为 4,最大值为 10。
    • 最大条目数:文件中 JSON 条目的数量。允许的最大条目数为 5000,最小条目数为 10,但默认值为 1000。

    • 标签:单击“添加”。输入以下详细信息

      • 输入
      • 输入
  4. 单击“部署”以部署监控会话。将出现“选择要部署监控会话的节点”对话框。选择要为其部署监控会话的 GigaVUE V 系列节点。
  5. 选择 V 系列节点后,从下拉菜单中选择部署在监控会话中的 REP 的接口。然后,单击“部署”。

日志参考

编辑

ami

编辑

这是 ami 数据集。

示例

ami 的示例事件如下所示

{
    "@timestamp": "2023-05-16T15:25:25.000Z",
    "agent": {
        "ephemeral_id": "81522d17-a23d-4c0b-9fc3-619ddebd6764",
        "id": "ef72383f-04dc-4020-9713-afbc5873e74d",
        "name": "elastic-agent-95129",
        "type": "filebeat",
        "version": "8.15.1"
    },
    "data_stream": {
        "dataset": "gigamon.ami",
        "namespace": "49902",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "ef72383f-04dc-4020-9713-afbc5873e74d",
        "snapshot": false,
        "version": "8.15.1"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "gigamon.ami",
        "ingested": "2024-10-21T06:12:50Z",
        "kind": "event",
        "original": "{\"app_id\":\"32\",\"app_name\":\"dns\",\"device_inbound_interface\":\"0\",\"dns_class\":\"1\",\"dns_flags\":\"0\",\"dns_host\":\"pnstrex-83816.local\",\"dns_host_addr\":\"10.114.82.101\",\"dns_host_class\":\"1\",\"dns_host_raw\":\"706e73747265782d38333831362e6c6f63616c\",\"dns_host_type\":\"PTR\",\"dns_name\":\"a.b.2.b.9.6.c.2.3.9.3.d.6.2.6.a.0.8.0.2.1.0.0.0.0.0.0.0.b.a.c.f. i:p6.arpa\",\"dns_opcode\":\"0\",\"dns_qdcount\":\"4\",\"dns_query\":\"f.7.5.2.e.7.6.2.4.c.1.c.4.c.6.1.0.8.0.2.1.0.0.0.0.0.0.0.b.a.c.f. ip6.arpa\",\"dns_query_type\":\"255\",\"dns_transaction_id\":\"0\",\"dns_ttl\":\"120\",\"dst_bytes\":\"0\",\"dst_ip\":\"224.0.0.251\",\"dst_mac\":\"01:00:5e:00:00:fb\",\"dst_packets\":\"0\",\"dst_port\":\"5353\",\"egress_intf_id\":\"0\",\"end_reason\":\"1\",\"end_time\":\"2023:12:13 15:25:11.181\",\"generator\":\"gs_apps_appInst16_423722da-33ec-1556-b24b-cda2e74a53f6\",\"id\":\"679408454713072647\",\"intf_name\":\"0\",\"ip_version\":\"4\",\"protocol\":\"17\",\"seq_num\":\"656\",\"src_bytes\":\"337\",\"src_ip\":\"10.114.82.101\",\"src_mac\":\"00:50:56:8d:89:41\",\"src_packets\":\"1\",\"src_port\":\"5353\",\"start_time\":\"2023:12:13 15:25:11.181\",\"sys_up_time_first\":\"3497355275\",\"sys_up_time_last\":\"3497355275\",\"ts\":\"Thu May 16 15:25:25 2023\",\"vendor\":\"Gigamon\",\"version\":\"6.5.00\"}"
    },
    "gigamon": {
        "ami": {
            "app_id": 32,
            "app_name": "dns",
            "device_inbound_interface": "0",
            "dns_class": "1",
            "dns_flags": "0",
            "dns_host": "pnstrex-83816.local",
            "dns_host_addr": "10.114.82.101",
            "dns_host_class": "1",
            "dns_host_raw": "706e73747265782d38333831362e6c6f63616c",
            "dns_host_type": "PTR",
            "dns_name": "a.b.2.b.9.6.c.2.3.9.3.d.6.2.6.a.0.8.0.2.1.0.0.0.0.0.0.0.b.a.c.f. i:p6.arpa",
            "dns_opcode": "0",
            "dns_qdcount": 4,
            "dns_query": "f.7.5.2.e.7.6.2.4.c.1.c.4.c.6.1.0.8.0.2.1.0.0.0.0.0.0.0.b.a.c.f. ip6.arpa",
            "dns_query_type": "255",
            "dns_query_type_value": "*",
            "dns_transaction_id": 0,
            "dns_ttl": 120,
            "dst_bytes": 0,
            "dst_ip": "224.0.0.251",
            "dst_mac": "01:00:5e:00:00:fb",
            "dst_packets": 0,
            "dst_port": 5353,
            "egress_intf_id": "0",
            "end_reason": "1",
            "end_reason_value": "Idle Timeout",
            "end_time": "2023-12-13T15:25:11.181Z",
            "generator": "gs_apps_appInst16_423722da-33ec-1556-b24b-cda2e74a53f6",
            "id": "679408454713072647",
            "intf_name": "0",
            "ip_version": "4",
            "protocol": "17",
            "seq_num": 656,
            "src_bytes": 337,
            "src_ip": "10.114.82.101",
            "src_mac": "00:50:56:8d:89:41",
            "src_packets": 1,
            "src_port": 5353,
            "start_time": "2023-12-13T15:25:11.181Z",
            "sys_up_time_first": 3497355275,
            "sys_up_time_last": 3497355275,
            "ts": "2023-05-16T15:25:25.000Z",
            "vendor": "Gigamon",
            "version": "6.5.00"
        }
    },
    "input": {
        "type": "http_endpoint"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "gigamon-ami"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

gigamon.ami.app_id

long

gigamon.ami.app_name

keyword

gigamon.ami.device_inbound_interface

keyword

gigamon.ami.dns_ancount

long

gigamon.ami.dns_arcount

long

gigamon.ami.dns_class

keyword

gigamon.ami.dns_flags

keyword

gigamon.ami.dns_host

keyword

gigamon.ami.dns_host_addr

keyword

gigamon.ami.dns_host_class

keyword

gigamon.ami.dns_host_raw

keyword

gigamon.ami.dns_host_type

keyword

gigamon.ami.dns_name

keyword

gigamon.ami.dns_opcode

keyword

gigamon.ami.dns_qdcount

long

gigamon.ami.dns_query

keyword

gigamon.ami.dns_query_type

keyword

gigamon.ami.dns_query_type_value

keyword

gigamon.ami.dns_reply_code

keyword

gigamon.ami.dns_reply_code_value

keyword

gigamon.ami.dns_response_time

double

gigamon.ami.dns_reverse_addr

ip

gigamon.ami.dns_transaction_id

long

gigamon.ami.dns_ttl

long

gigamon.ami.dst_bytes

long

gigamon.ami.dst_ip

ip

gigamon.ami.dst_mac

keyword

gigamon.ami.dst_packets

long

gigamon.ami.dst_port

long

gigamon.ami.egress_intf_id

keyword

gigamon.ami.end_reason

keyword

gigamon.ami.end_reason_value

keyword

gigamon.ami.end_time

日期

gigamon.ami.eventType

keyword

gigamon.ami.generator

keyword

gigamon.ami.http_code

long

gigamon.ami.http_content_len

long

gigamon.ami.http_content_type

keyword

gigamon.ami.http_host

keyword

gigamon.ami.http_method

keyword

gigamon.ami.http_mime_type

keyword

gigamon.ami.http_request_size

long

gigamon.ami.http_rtt

keyword

gigamon.ami.http_server

keyword

gigamon.ami.http_server_agent

keyword

gigamon.ami.http_uri

keyword

gigamon.ami.http_uri_decoded

keyword

gigamon.ami.http_uri_full

keyword

gigamon.ami.http_uri_path

keyword

gigamon.ami.http_uri_path_decoded

keyword

gigamon.ami.http_uri_path_value

keyword

gigamon.ami.http_uri_raw

keyword

gigamon.ami.http_user_agent

keyword

gigamon.ami.http_version

keyword

gigamon.ami.id

keyword

gigamon.ami.intf_name

keyword

gigamon.ami.ip_version

keyword

gigamon.ami.protocol

keyword

gigamon.ami.seq_num

long

gigamon.ami.smb_version

keyword

gigamon.ami.smb_version_value

keyword

gigamon.ami.src_bytes

long

gigamon.ami.src_ip

ip

gigamon.ami.src_mac

keyword

gigamon.ami.src_packets

long

gigamon.ami.src_port

long

gigamon.ami.ssl_cert_ext_authority_key_id

keyword

gigamon.ami.ssl_cert_ext_subject_key_id

keyword

gigamon.ami.ssl_cert_extension_oid

keyword

gigamon.ami.ssl_certif_md5

keyword

gigamon.ami.ssl_certif_sha1

keyword

gigamon.ami.ssl_certificate_dn_issuer

keyword

gigamon.ami.ssl_certificate_dn_subject

keyword

gigamon.ami.ssl_certificate_issuer_c

keyword

gigamon.ami.ssl_certificate_issuer_cn

keyword

gigamon.ami.ssl_certificate_issuer_l

keyword

gigamon.ami.ssl_certificate_issuer_o

keyword

gigamon.ami.ssl_certificate_issuer_ou

keyword

gigamon.ami.ssl_certificate_issuer_st

keyword

gigamon.ami.ssl_certificate_subject_c

keyword

gigamon.ami.ssl_certificate_subject_cn

keyword

gigamon.ami.ssl_certificate_subject_key_algo_oid

keyword

gigamon.ami.ssl_certificate_subject_key_size

long

gigamon.ami.ssl_certificate_subject_l

keyword

gigamon.ami.ssl_certificate_subject_o

keyword

gigamon.ami.ssl_certificate_subject_ou

keyword

gigamon.ami.ssl_certificate_subject_st

keyword

gigamon.ami.ssl_cipher_suite_id

keyword

gigamon.ami.ssl_cipher_suite_id_protocol

keyword

gigamon.ami.ssl_cipher_suite_id_value

keyword

gigamon.ami.ssl_cipher_suite_list

keyword

gigamon.ami.ssl_client_hello_extension_len

long

gigamon.ami.ssl_client_hello_extension_type

keyword

gigamon.ami.ssl_common_name

keyword

gigamon.ami.ssl_compression_method

keyword

gigamon.ami.ssl_content_type

keyword

gigamon.ami.ssl_declassify_override

keyword

gigamon.ami.ssl_ext_sig_algorithm_hash

keyword

gigamon.ami.ssl_ext_sig_algorithm_hash_value

keyword

gigamon.ami.ssl_ext_sig_algorithm_scheme

keyword

gigamon.ami.ssl_ext_sig_algorithm_scheme_value

keyword

gigamon.ami.ssl_ext_sig_algorithm_sig

keyword

gigamon.ami.ssl_ext_sig_algorithms_len

long

gigamon.ami.ssl_fingerprint_ja3

keyword

gigamon.ami.ssl_fingerprint_ja3s

keyword

gigamon.ami.ssl_handshake_type

keyword

gigamon.ami.ssl_index

keyword

gigamon.ami.ssl_issuer

keyword

gigamon.ami.ssl_nb_compression_methods

keyword

gigamon.ami.ssl_organization_name

keyword

gigamon.ami.ssl_protocol_version

keyword

gigamon.ami.ssl_protocol_version_value

keyword

gigamon.ami.ssl_request_size

long

gigamon.ami.ssl_serial_number

keyword

gigamon.ami.ssl_server_hello_extension_len

long

gigamon.ami.ssl_server_hello_extension_type

keyword

gigamon.ami.ssl_session_id

keyword

gigamon.ami.ssl_signalization_override

keyword

gigamon.ami.ssl_validity_not_after

日期

gigamon.ami.ssl_validity_not_before

日期

gigamon.ami.start_time

日期

gigamon.ami.sys_up_time_first

long

gigamon.ami.sys_up_time_last

long

gigamon.ami.tcp_flags

keyword

gigamon.ami.ts

日期

gigamon.ami.vendor

keyword

gigamon.ami.version

keyword

input.type

Filebeat 输入的类型。

keyword

log.offset

日志偏移量。

long

tags

用户定义的标签。

keyword

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.2.0

增强 (查看拉取请求)
将“preserve_original_event”标记添加到 event.kind 设置为“pipeline_error”的文档。

8.13.0 或更高版本

1.1.0

增强 (查看拉取请求)
添加 DevOps 仪表板。

8.13.0 或更高版本

1.0.1

错误修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三括号 Mustache 模板。

8.13.0 或更高版本

1.0.0

增强 (查看拉取请求)
将软件包作为 GA 版本发布。

8.13.0 或更高版本

0.2.0

增强 (查看拉取请求)
更新软件包描述。

增强 (查看拉取请求)
更新 README 文件以修复缩进问题。

Bug 修复 (查看拉取请求)
修复包含未定义索引模式的仪表板。

Bug 修复 (查看拉取请求)
修复摄取管道中注释的位置。

0.1.0

增强 (查看拉取请求)
初始版本

« Fortinet FortiProxy 集成 GitHub 集成 »