›

Bravura Monitor 集成

版本	1.18.3 (查看全部)
兼容的 Kibana 版本	8.7.1 或更高版本
支持的 Serverless 项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	合作伙伴

Bravura Monitor 集成从 Bravura Security Fabric 实例中获取并解析日志。

运行集成时，它会自动执行以下任务

设置日志文件的默认路径（您可以覆盖默认值）
确保每个多行日志事件都作为单个事件发送
使用摄取管道解析和处理日志行，将数据塑造成适合在 Kibana 中可视化的结构
部署用于可视化日志数据的仪表板

兼容性

编辑

Bravura Monitor 集成已在 Windows Server 2016 上运行的 Bravura Security Fabric 12.3.0 的日志中进行了测试。

该集成还测试了 Bravura Security Fabric/IDM Suite 11.x、12.x 系列。

此集成不适用于 Linux 或 Mac。

默认情况下，该集成配置为读取存储在 default 实例日志目录中的日志文件。但是，它可以配置为任何文件路径。请参见以下示例。

- id: b5e895ed-0726-4fa3-870c-464379d1c27b
    name: hid_bravura_monitor-1
    revision: 1
    type: filestream
    use_output: default
    meta:
      package:
        name: hid_bravura_monitor
        version: 1.0.0
    data_stream:
      namespace: default
    streams:
      - id: >-
          filestream-hid_bravura_monitor.log-b5e895ed-0726-4fa3-870c-464379d1c27b
        data_stream:
          dataset: hid_bravura_monitor.log
          type: logs
        paths:
          - 'C:/Program Files/Bravura Security/Bravura Security Fabric/Logs/default*/idmsuite*.log'
        prospector.scanner.exclude_files:
          - .gz$
        line_terminator: carriage_return_line_feed
        tags: null
        processors:
          - add_fields:
              target: ''
              fields:
                hid_bravura_monitor.instancename: default
                hid_bravura_monitor.node: 0.0.0.0
                hid_bravura_monitor.environment: PRODUCTION
                hid_bravura_monitor.instancetype: Privilege-Identity-Password
                event.timezone: UTC
        parsers:
          - multiline:
              type: pattern
              pattern: '^[[:cntrl:]]'
              negate: true
              match: after

`hid_bravura_monitor.instancename`

Bravura Security Fabric 实例的名称。默认值为 default。例如

processors:
  - add_fields:
      target: ''
      fields:
        hid_bravura_monitor.instancename: default
        ...

`hid_bravura_monitor.node`

实例节点的地址。如果保留默认的 0.0.0.0，则该值将填充为 host.name。例如

processors:
  - add_fields:
      target: ''
      fields:
        hid_bravura_monitor.node: 127.0.0.1
        ...

`event.timezone`

给定实例服务器的时区。默认值为 UTC。例如

processors:
  - add_fields:
      target: ''
      fields:
        event.timezone: Canada/Mountain
        ...

`hid_bravura_monitor.environment`

Bravura Security Fabric 实例的环境；选择 DEVELOPMENT、TESTING、PRODUCTION。默认值为 PRODUCTION。例如

processors:
  - add_fields:
      target: ''
      fields:
        hid_bravura_monitor.environment: DEVELOPMENT
        ...

`hid_bravura_monitor.instancetype`

安装的 Bravura Security Fabric 实例的类型；选择 Privilege、Identity 或 Password 的任意组合。默认值为 Privilege-Identity-Password。例如

processors:
  - add_fields:
      target: ''
      fields:
        hid_bravura_monitor.instancetype: Identity
        ...

`paths`

一个基于 glob 的路径数组，用于指定查找日志文件的位置。Go Glob 支持的所有模式也在此处支持。

例如，您可以使用通配符从预定义级别的子目录中提取所有文件：/path/to/log/*/*.log。这将从 /path/to/log 的子文件夹中提取所有 .log 文件。它不会从 /path/to/log 文件夹本身提取日志文件。如果此设置为空，则集成将根据您的操作系统选择日志路径。

日志

编辑

日志

编辑

log 数据集收集 Bravura Security Fabric 应用程序日志。

示例

log 的示例事件如下所示

{
    "@timestamp": "2021-01-16T00:35:25.258Z",
    "agent": {
        "ephemeral_id": "35e38c15-1a71-4f27-be32-fa338af49c11",
        "id": "891454b6-66ae-48e0-a2df-0f093ea30e4c",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.2"
    },
    "data_stream": {
        "dataset": "hid_bravura_monitor.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "891454b6-66ae-48e0-a2df-0f093ea30e4c",
        "snapshot": false,
        "version": "8.10.2"
    },
    "event": {
        "agent_id_status": "verified",
        "dataset": "hid_bravura_monitor.log",
        "ingested": "2023-10-03T10:00:58Z",
        "original": "\u00182021-01-16 00:35:25.258.7085 - [] pamlws.exe [44408,52004] Error: LWS [HID-TEST] foundcomputer record not found",
        "timezone": "UTC"
    },
    "hid_bravura_monitor": {
        "environment": "PRODUCTION",
        "instancename": "default",
        "instancetype": "Privilege-Identity-Password",
        "node": "docker-fleet-agent"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": true,
        "hostname": "docker-fleet-agent",
        "id": "efe661d97f0c4d9883075c393da6b0d8",
        "ip": [
            "172.23.0.7"
        ],
        "mac": [
            "02-42-AC-17-00-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.15.90.1-microsoft-standard-WSL2",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "filestream"
    },
    "log": {
        "file": {
            "device_id": 2080,
            "inode": 90160,
            "path": "/tmp/service_logs/hid_bravura_monitor.log"
        },
        "level": "Error",
        "logger": "pamlws.exe",
        "offset": 104
    },
    "message": "LWS [HID-TEST] foundcomputer record not found",
    "process": {
        "pid": 44408,
        "thread": {
            "id": 52004
        }
    },
    "tags": [
        "preserve_original_event"
    ],
    "user": {
        "id": ""
    }
}

导出的字段

字段	描述	类型
@timestamp	事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。	日期
client.address	一些事件客户端地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	关键词
client.domain	客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化添加。	关键词
client.ip	客户端的 IP 地址（IPv4 或 IPv6）。	ip
client.port	客户端的端口。	长整型
client.user.name	用户的简称或登录名。	关键词
client.user.name.text	`client.user.name` 的多字段。	match_only_text
cloud.account.id	用于标识多租户环境中不同实体的云帐户或组织 ID。示例：AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。	关键词
cloud.availability_zone	此主机运行所在的可用区。	关键词
cloud.image.id	云实例的映像 ID。	关键词
cloud.instance.id	主机机器的实例 ID。	关键词
cloud.instance.name	主机机器的实例名称。	关键词
cloud.machine.type	主机机器的机器类型。	关键词
cloud.project.id	Google Cloud 中项目的名称。	关键词
cloud.provider	云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。	关键词
cloud.region	此主机运行所在的区域。	关键词
container.id	唯一容器 ID。	关键词
container.image.name	容器构建所基于的映像的名称。	关键词
container.labels	映像标签。	对象
container.name	容器名称。	关键词
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.address	一些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	关键词
destination.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。	长整型
destination.as.organization.name	组织名称。	关键词
destination.as.organization.name.text	`destination.as.organization.name` 的多字段。	match_only_text
destination.bytes	从目标发送到源的字节数。	长整型
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化添加。	关键词
destination.geo.city_name	城市名称。	关键词
destination.geo.continent_name	大洲的名称。	关键词
destination.geo.country_iso_code	国家/地区的 ISO 代码。	关键词
destination.geo.country_name	国家/地区的名称。	关键词
destination.geo.location	经度和纬度。	地理点
destination.geo.region_iso_code	区域 ISO 代码。	关键词
destination.geo.region_name	区域名称。	关键词
destination.ip	目标的 IP 地址（IPv4 或 IPv6）。	ip
destination.nat.ip	基于 NAT 会话的目标的转换 IP（例如，Internet 到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。	ip
destination.nat.port	源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。	长整型
destination.port	目标的端口。	长整型
destination.user.name	用户的简称或登录名。	关键词
目标用户的简称或登录名。	`destination.user.name` 的多字段。	match_only_text
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是一个必填字段，必须存在于所有事件中。在跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的架构版本。	关键词
error.message	错误消息。	match_only_text
event.category	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二级。`event.category` 表示 ECS 类别的“大桶”。例如，筛选 `event.category:process` 会产生所有与进程活动相关的事件。此字段与用作子类别的 `event.type` 密切相关。此字段是一个数组。这将允许正确分类属于多个类别的某些事件。	关键词
event.code	此事件的识别代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。	关键词
event.created	`event.created` 包含代理或管道首次读取事件时的日期/时间。此字段与 `@timestamp` 不同，因为 `@timestamp` 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用差异来计算源生成事件的时间与代理首次处理该事件的时间之间的延迟。这可用于监视代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 `@timestamp`。	日期
event.dataset	事件数据集	constant_keyword
event.duration	事件的持续时间，以纳秒为单位。如果知道 `event.start` 和 `event.end`，则此值应该是结束时间和开始时间之间的差值。	长整型
event.end	`event.end` 包含事件结束或上次观察到活动时的日期。	日期
event.ingested	事件到达中央数据存储的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示： `@timestamp` < `event.created` < `event.ingested`。	日期
event.kind	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。`event.kind` 提供有关事件所包含信息类型的高级信息，而无需具体到事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留时间、不同的访问控制，它还有助于了解数据是否以固定的时间间隔传入。	关键词
event.module	事件模块	constant_keyword
event.provider	事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd）或操作系统的子系统（内核、Microsoft-Windows-Security-Auditing）。	关键词
event.severity	根据事件源，事件的数字严重性。不同严重性值的含义在不同的来源和用例之间可能有所不同。实现者有责任确保来自同一来源的事件的严重性一致。Syslog 严重性属于 `log.syslog.severity.code`。`event.severity` 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自己的严重性，则可以选择将 `log.syslog.severity.code` 复制到 `event.severity`。	长整型
event.start	`event.start` 包含事件开始或首次观察到活动时的日期。	日期
event.timezone	当事件的时间戳不包含时区信息时（例如，默认的 Syslog 时间戳），应填充此字段。否则它是可选的。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。	关键词
event.type	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。`event.type` 表示一个分类“子桶”，当与 `event.category` 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对一些属于多种事件类型的事件进行适当的分类。	关键词
file.path	文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。	关键词
file.path.text	`file.path` 的多字段。	match_only_text
hid_bravura_monitor.environment	实例环境	关键词
hid_bravura_monitor.instancename	实例名称	关键词
hid_bravura_monitor.instancetype	实例类型	关键词
hid_bravura_monitor.node	节点	关键词
hid_bravura_monitor.perf.address	服务器地址	wildcard
hid_bravura_monitor.perf.adminid	管理员 ID	关键词
hid_bravura_monitor.perf.caller	应用程序调用者	关键词
hid_bravura_monitor.perf.dbcommand	数据库命令	关键词
hid_bravura_monitor.perf.destination	目标 URL	wildcard
hid_bravura_monitor.perf.duration	性能持续时间	长整型
hid_bravura_monitor.perf.event	事件	关键词
hid_bravura_monitor.perf.exe	可执行文件	关键词
hid_bravura_monitor.perf.file	源文件	关键词
hid_bravura_monitor.perf.function	性能函数	关键词
hid_bravura_monitor.perf.kernel	内核时间	长整型
hid_bravura_monitor.perf.kind	性能类型（例如，PerfExe、PerfAjax、PerfFileRep 等）	关键词
hid_bravura_monitor.perf.line	行号	长整型
hid_bravura_monitor.perf.message	性能消息	wildcard
hid_bravura_monitor.perf.message.keyword	`hid_bravura_monitor.perf.message` 的多字段。	关键词
hid_bravura_monitor.perf.operation	操作	关键词
hid_bravura_monitor.perf.receivequeue	接收队列	关键词
hid_bravura_monitor.perf.records	数据库记录	长整型
hid_bravura_monitor.perf.result	结果	长整型
hid_bravura_monitor.perf.sessionid	会话 ID	关键词
hid_bravura_monitor.perf.sysid	系统 ID	关键词
hid_bravura_monitor.perf.table	数据库表	关键词
hid_bravura_monitor.perf.targetid	目标 ID	关键词
hid_bravura_monitor.perf.transid	事务 ID	关键词
hid_bravura_monitor.perf.type	IDWFM 类型	关键词
hid_bravura_monitor.perf.user	用户时间	长整型
hid_bravura_monitor.request.id	请求 ID	关键词
host.architecture	操作系统架构。	关键词
host.containerized	主机是否是容器。	布尔值
host.domain	主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	关键词
host.hostname	主机的 hostname。它通常包含主机上 `hostname` 命令返回的内容。	关键词
host.id	唯一的主机 ID。由于 hostname 并不总是唯一的，因此请使用在您的环境中具有意义的值。示例：当前 `beat.name` 的使用。	关键词
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。	关键词
host.name	主机的名称。它可以包含 Unix 系统上 `hostname` 返回的内容、完全限定的域名或用户指定的名称。发送者决定使用哪个值。	关键词
host.os.build	操作系统版本信息。	关键词
host.os.codename	操作系统代号（如果有）。	关键词
host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	关键词
host.os.kernel	操作系统内核版本（原始字符串）。	关键词
host.os.name	操作系统名称（不带版本）。	关键词
host.os.name.text	`host.os.name` 的多字段。	文本
host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	关键词
host.os.version	操作系统版本（原始字符串）。	关键词
host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器（例如）或在您的环境中具有意义的其他信息。	关键词
input.type	输入类型。	关键词
labels	自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：`docker` 和 `k8s` 标签。	对象
log.file.device_id	包含文件所在文件系统的设备的 ID。	关键词
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹身份。	关键词
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	关键词
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	关键词
log.file.inode	日志文件的 inode 号。	关键词
log.file.path	此事件来源的日志文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。如果事件不是从日志文件中读取的，则不要填充此字段。	关键词
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	关键词
log.flags	日志文件的标志。	关键词
log.level	日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则这是放入 `log.level` 中的级别。如果您的源未指定，您可以在此处放置事件传输的严重性（例如，Syslog 严重性）。一些示例是 `warn`、`err`、`i`、`informational`。	关键词
log.logger	应用程序内部的记录器的名称。这通常是初始化记录器的类的名称，也可以是自定义名称。	关键词
log.offset	日志文件中条目的偏移量。	长整型
log.source.address	从中读取/发送日志事件的源地址。	关键词
message	对于日志事件，消息字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来以形成事件的人类可读摘要。如果存在多个消息，则可以将它们合并为一个消息。	match_only_text
network.bytes	在两个方向上传输的总字节数。如果知道 `source.bytes` 和 `destination.bytes`，则 `network.bytes` 是它们的总和。	长整型
network.direction	网络流量的方向。当映射来自基于主机的监视上下文的事件时，请从主机的角度填充此字段，使用值“ingress”或“egress”。当映射来自基于网络或外围的监视上下文的事件时，请从网络外围的角度填充此字段，使用值“inbound”、“outbound”、“internal”或“external”。请注意，“internal”不跨越外围边界，旨在描述外围内两个主机之间的通信。另请注意，“external”旨在描述外围外部两个主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。	关键词
network.iana_number	IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化的协议列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。	关键词
network.inner	除了 network.vlan 字段之外，还添加了 Network.inner 字段，用于描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当使用多个 802.1q 封装将流量发送到网络传感器（例如，Zeek、Wireshark）时，通常会使用内部 vlan 字段。	组
network.inner.vlan.id	观察者报告的 VLAN ID。	关键词
network.inner.vlan.name	观察者报告的可选 VLAN 名称。	关键词
network.protocol	在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。为了查询，必须将字段值规范化为小写。	关键词
network.transport	与 network.iana_number 相同，但改为使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。为了查询，必须将字段值规范化为小写。	关键词
network.type	在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。为了查询，必须将字段值规范化为小写。	关键词
observer.egress.interface.name	系统报告的接口名称。	关键词
observer.egress.zone	观察者报告的出站流量的网络区域，用于对出站流量的目标区域进行分类，例如，内部、外部、DMZ、HR、法律等。	关键词
observer.hostname	观察者的主机名。	关键词
observer.ingress.interface.name	系统报告的接口名称。	关键词
观察者入口区域	观察者报告的入站流量的网络区域，用于对入站流量的来源区域进行分类。例如，内部、外部、DMZ、HR、法律等。	关键词
observer.ip	观察者的 IP 地址。	ip
observer.name	观察者的自定义名称。这是可以给观察者的名称。例如，如果组织中使用多个相同型号的防火墙，这可能会有所帮助。如果不需要自定义名称，则可以保留该字段为空。	关键词
observer.product	观察者的产品名称。	关键词
observer.type	数据来源的观察器类型。没有预定义的观察器类型列表。一些示例包括 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor`、`APM server`。	关键词
observer.vendor	观察器的供应商名称。	关键词
observer.version	观察器版本。	关键词
process.name	进程名称。有时也称为程序名称或类似名称。	关键词
process.name.text	`process.name` 的多字段。	match_only_text
process.pid	进程 ID。	长整型
process.thread.id	线程 ID。	长整型
related.hosts	在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	关键词
related.ip	在您的事件中看到的所有 IP。	ip
related.user	在事件中看到的所有用户名或其他用户标识符。	关键词
server.address	一些事件服务器地址的定义是模糊的。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键词
server.domain	服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	关键词
server.ip	服务器的 IP 地址（IPv4 或 IPv6）。	ip
server.port	服务器的端口。	长整型
source.address	一些事件源地址的定义是模糊的。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键词
source.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。	长整型
source.as.organization.name	组织名称。	关键词
source.as.organization.name.text	`source.as.organization.name` 的多字段。	match_only_text
source.bytes	从源发送到目标的字节数。	长整型
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	关键词
source.geo.city_name	城市名称。	关键词
source.geo.continent_name	大洲的名称。	关键词
source.geo.country_iso_code	国家/地区的 ISO 代码。	关键词
source.geo.country_name	国家/地区的名称。	关键词
source.geo.location	经度和纬度。	地理点
source.geo.region_iso_code	区域 ISO 代码。	关键词
source.geo.region_name	区域名称。	关键词
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.nat.ip	基于 NAT 会话的源的转换 IP（例如，内部客户端到 Internet）。通常是跨越负载均衡器、防火墙或路由器的连接。	ip
source.nat.port	基于 NAT 会话的源的转换端口。（例如，内部客户端到 Internet）。通常与负载均衡器、防火墙或路由器一起使用。	长整型
source.port	源的端口。	长整型
source.user.name	用户的简称或登录名。	关键词
source.user.name.text	`source.user.name` 的多字段。	match_only_text
tags	用于标记每个事件的关键字列表。	关键词
url.domain	URL 的域名，例如 “https://elastic.ac.cn[www.elastic.co]”。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将进入 `domain` 字段。如果 URL 包含用 `[` 和 `]` (IETF RFC 2732) 括起来的文字 IPv6 地址，则 `[` 和 `]` 字符也应捕获在 `domain` 字段中。	关键词
url.extension	该字段包含来自原始请求 URL 的文件扩展名，不包括前导点。仅当文件扩展名存在时才设置该文件扩展名，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须是 “png”，而不是 “.png”。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（“gz”，而不是 “tar.gz”）。	关键词
url.fragment	URL 中 `#` 之后的部分，例如 “top”。 `#` 不是片段的一部分。	关键词
url.full	如果完整的 URL 对您的用例很重要，则应将它们存储在 `url.full` 中，无论此字段是重建的还是存在于事件源中。	wildcard
url.full.text	`url.full` 的多字段。	match_only_text
url.original	事件源中看到的未修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整的 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论是否完整。	wildcard
url.original.text	`url.original` 的多字段。	match_only_text
url.password	请求的密码。	关键词
url.path	请求的路径，例如 “/search”。	wildcard
url.port	请求的端口，例如 443。	长整型
url.query	query 字段描述请求的查询字符串，例如 “q=elasticsearch”。`?` 从查询字符串中排除。如果 URL 不包含 `?`，则没有 query 字段。如果有 `?` 但没有查询，则 query 字段存在，并且为空字符串。可以使用 `exists` 查询来区分这两种情况。	关键词
url.registered_domain	最高注册的 URL 域，去除了子域。例如，“foo.example.com” 的注册域是 “example.com”。可以使用类似于公共后缀列表 (http://publicsuffix.org) 的列表来精确确定此值。尝试仅获取最后两个标签来近似此值对于 “co.uk” 等 TLD 将无法很好地工作。	关键词
url.scheme	请求的方案，例如 “https”。注意：`:` 不是方案的一部分。	关键词
url.subdomain	完全限定域名的子域部分包括注册域下除主机名之外的所有名称。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]” 的子域部分是 “east”。如果域具有多个级别的子域，例如 “sub2.sub1.example.com”，则子域字段应包含 “sub2.sub1”，没有尾随句点。	关键词
url.top_level_domain	有效顶级域名 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域名是 “com”。可以使用类似于公共后缀列表 (http://publicsuffix.org) 的列表来精确确定此值。尝试仅获取最后一个标签来近似此值对于 “co.uk” 等有效 TLD 将无法很好地工作。	关键词
url.username	请求的用户名。	关键词
user.email	用户电子邮件地址。	关键词
user.id	用户的唯一标识符。	关键词
user.name	用户的简称或登录名。	关键词
user.name.text	`user.name` 的多字段。	match_only_text

winlog

编辑

winlog 数据集收集 Bravura Security Fabric 事件日志。

示例

winlog 的示例事件如下所示

{
    "@timestamp": "2021-10-29T14:05:50.739Z",
    "agent": {
        "ephemeral_id": "d061bfcf-e51b-4586-9ace-3d5b15f86e37",
        "hostname": "node1",
        "id": "aa12ad42-61bc-466c-8887-1a15d4646fc7",
        "name": "node1",
        "type": "filebeat",
        "version": "8.0.0"
    },
    "cloud": {
        "account": {
            "id": "753231555564"
        },
        "availability_zone": "us-east-1a",
        "image": {
            "id": "ami-0e6ddc753bf04d004"
        },
        "instance": {
            "id": "i-043997b05c5fa45ee"
        },
        "machine": {
            "type": "t3a.xlarge"
        },
        "provider": "aws",
        "region": "us-east-1"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "event": {
        "code": 92,
        "created": "2021-10-29T14:05:52.111Z",
        "kind": "event",
        "provider": "Hitachi-Hitachi ID Systems-Hitachi ID Suite"
    },
    "host": {
        "architecture": "x86_64",
        "hostname": "node1",
        "id": "a9d2b7f5-6d62-46b3-8fbe-35a7e83d1dc8",
        "ip": [
            "0.0.0.0"
        ],
        "mac": [
            "0a:a5:af:ad:d3:ab"
        ],
        "name": "bravurasecurity1.corp",
        "os": {
            "build": "17763.1999",
            "family": "windows",
            "kernel": "10.0.17763.1999 (WinBuild.160101.0800)",
            "name": "Windows Server 2019 Datacenter",
            "platform": "windows",
            "version": "10.0"
        }
    },
    "log": {
        "level": "information"
    },
    "message": "User successfully logged in.|Profile=JOHND|Language=|Skin=",
    "winlog": {
        "activity_id": "{4ffdfadd-63f2-41b2-9a4f-13534a729c54}",
        "api": "wineventlog",
        "channel": "Hitachi-Hitachi ID Systems-Hitachi ID Suite/Operational",
        "computer_name": "bravurasecurity1.corp",
        "event_data": {
            "Instance": "pmim",
            "Module": "psf.exe",
            "Profile": "JOHND"
        },
        "event_id": 92,
        "opcode": "Info",
        "process": {
            "pid": 6368,
            "thread": {
                "id": 9064
            }
        },
        "provider_guid": "{5a744344-18a9-480d-8a3a-0560ac58b841}",
        "provider_name": "Hitachi-Hitachi ID Systems-Hitachi ID Suite",
        "record_id": 1548167,
        "task": "",
        "user": {
            "domain": "DOMAIN1",
            "identifier": "S-1-5-21-1512184445-966971527-3399726218-1035",
            "name": "psadmin",
            "type": "User"
        }
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.account.id	用于标识多租户环境中不同实体的云帐户或组织 ID。示例：AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。	关键词
cloud.availability_zone	此主机运行所在的可用区。	关键词
cloud.image.id	云实例的映像 ID。	关键词
cloud.instance.id	主机机器的实例 ID。	关键词
cloud.instance.name	主机机器的实例名称。	关键词
cloud.machine.type	主机机器的机器类型。	关键词
cloud.project.id	Google Cloud 中项目的名称。	关键词
cloud.provider	云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。	关键词
cloud.region	此主机运行所在的区域。	关键词
container.id	唯一容器 ID。	关键词
container.image.name	容器构建所基于的映像的名称。	关键词
container.labels	映像标签。	对象
container.name	容器名称。	关键词
data_stream.dataset	数据流数据集名称。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是一个必填字段，必须存在于所有事件中。在跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的架构版本。	关键词
error.code	描述错误的错误代码。	关键词
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。示例包括 `group-add`、`process-started`、`file-created`。该值通常由实施者定义。	关键词
event.category	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二级。`event.category` 表示 ECS 类别的“大桶”。例如，筛选 `event.category:process` 会产生所有与进程活动相关的事件。此字段与用作子类别的 `event.type` 密切相关。此字段是一个数组。这将允许正确分类属于多个类别的某些事件。	关键词
event.code	此事件的识别代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。	关键词
event.created	`event.created` 包含代理或管道首次读取事件时的日期/时间。此字段与 `@timestamp` 不同，因为 `@timestamp` 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用差异来计算源生成事件的时间与代理首次处理该事件的时间之间的延迟。这可用于监视代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 `@timestamp`。	日期
event.dataset	事件数据集。	constant_keyword
event.ingested	事件到达中央数据存储的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示： `@timestamp` < `event.created` < `event.ingested`。	日期
event.kind	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。`event.kind` 提供有关事件所包含信息类型的高级信息，而无需具体到事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留时间、不同的访问控制，它还有助于了解数据是否以固定的时间间隔传入。	关键词
event.module	事件模块	constant_keyword
event.outcome	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。从生成事件的实体的角度来看，`event.outcome` 只是表示事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据它们的角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。进一步注意，并非所有事件都会有相关结果。例如，通常不会为指标事件、具有 `event.type:info` 的事件或任何结果没有逻辑意义的事件填充此字段。	关键词
event.provider	事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd）或操作系统的子系统（内核、Microsoft-Windows-Security-Auditing）。	关键词
event.sequence	事件的序列号。序列号是某些事件源发布的数值，无论时间戳精度如何，都可以使事件的确切顺序明确。	长整型
event.type	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。`event.type` 表示一个分类“子桶”，当与 `event.category` 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对一些属于多种事件类型的事件进行适当的分类。	关键词
group.domain	组所属目录的名称。例如，LDAP 或 Active Directory 域名。	关键词
group.id	系统/平台上的组的唯一标识符。	关键词
group.name	组的名称。	关键词
host.architecture	操作系统架构。	关键词
host.containerized	主机是否是容器。	布尔值
host.domain	主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	关键词
host.hostname	主机的 hostname。它通常包含主机上 `hostname` 命令返回的内容。	关键词
host.id	唯一的主机 ID。由于 hostname 并不总是唯一的，因此请使用在您的环境中具有意义的值。示例：当前 `beat.name` 的使用。	关键词
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。	关键词
host.name	主机的名称。它可以包含 Unix 系统返回的主机名、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	关键词
host.os.build	操作系统版本信息。	关键词
host.os.codename	操作系统代号（如果有）。	关键词
host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	关键词
host.os.kernel	操作系统内核版本（原始字符串）。	关键词
host.os.name	操作系统名称（不带版本）。	关键词
host.os.name.text	`host.os.name` 的多字段。	文本
host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	关键词
host.os.version	操作系统版本（原始字符串）。	关键词
host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器（例如）或在您的环境中具有意义的其他信息。	关键词
input.type	Filebeat 输入的类型。	关键词
log.file.path	此事件来源的日志文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。如果事件不是从日志文件中读取的，则不要填充此字段。	关键词
log.level	日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则这是放入 `log.level` 中的级别。如果您的源未指定，您可以在此处放置事件传输的严重性（例如，Syslog 严重性）。一些示例是 `warn`、`err`、`i`、`informational`。	关键词
message	对于日志事件，消息字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来以形成事件的人类可读摘要。如果存在多个消息，则可以将它们合并为一个消息。	match_only_text
process.args	进程参数数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。	关键词
process.args_count	process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行桶分析很有用。更多参数可能表示可疑活动。	长整型
process.command_line	启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤一些参数以保护敏感信息。	wildcard
process.command_line.text	`process.command_line` 的多字段。	match_only_text
process.entity_id	进程的唯一标识符。此实现由数据源指定，但此处可能使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程的某些唯一标识组件的哈希值。构造全局唯一标识符是缓解 PID 重用以及在多个受监控主机上随时间识别特定进程的常用做法。	关键词
process.executable	进程可执行文件的绝对路径。	关键词
process.executable.text	`process.executable` 的多字段。	match_only_text
process.name	进程名称。有时也称为程序名称或类似名称。	关键词
process.name.text	`process.name` 的多字段。	match_only_text
process.parent.executable	进程可执行文件的绝对路径。	关键词
process.parent.executable.text	`process.parent.executable` 的多字段。	match_only_text
process.parent.name	进程名称。有时也称为程序名称或类似名称。	关键词
process.parent.name.text	`process.parent.name` 的多字段。	match_only_text
process.pid	进程 ID。	长整型
process.title	进程标题。进程标题有时与进程名称相同。但也可能不同：例如，浏览器将其标题设置为当前打开的网页。	关键词
process.title.text	`process.title` 的多字段。	match_only_text
related.hash	在您的事件中看到的所有哈希值。填充此字段，然后使用它来搜索哈希值，可以在您不确定哈希算法是什么（因此不确定要搜索哪个键名）的情况下提供帮助。	关键词
related.hosts	在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	关键词
related.ip	在您的事件中看到的所有 IP。	ip
related.user	在事件中看到的所有用户名或其他用户标识符。	关键词
service.name	从中收集数据的服务名称。服务名称通常由用户指定。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果没有指定名称，则 `service.name` 默认为 `service.type` 字段的副本。	关键词
service.type	从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 `service.type` 将为 `elasticsearch`。	关键词
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	关键词
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.port	源的端口。	长整型
tags	用于标记每个事件的关键字列表。	关键词
user.domain	用户所属目录的名称。例如，LDAP 或 Active Directory 域名。	关键词
user.id	用户的唯一标识符。	关键词
user.name	用户的简称或登录名。	关键词
user.name.text	`user.name` 的多字段。	match_only_text
user.target.group.domain	组所属目录的名称。例如，LDAP 或 Active Directory 域名。	关键词
user.target.group.id	系统/平台上的组的唯一标识符。	关键词
user.target.group.name	组的名称。	关键词
user.target.name	用户的简称或登录名。	关键词
user.target.name.text	`user.target.name` 的多字段。	match_only_text
winlog.activity_id	用于标识当前活动的全局唯一标识符。使用此标识符发布的事件是同一活动的一部分。	关键词
winlog.api	用于读取记录的事件日志 API 类型。可能的值为 "wineventlog"（用于 Windows 事件日志 API）或 "eventlogging"（用于事件日志记录 API）。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中，事件日志记录基础结构进行了重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。Winlogbeat 会自动检测要使用哪个 API 读取事件日志。	关键词
winlog.channel	从中读取此记录的通道的名称。此值是配置中 `event_logs` 集合中的名称之一。	关键词
winlog.computerObject.domain		关键词
winlog.computerObject.id		关键词
winlog.computerObject.name		关键词
winlog.computer_name	生成记录的计算机的名称。使用 Windows 事件转发时，此名称可能与 `agent.hostname` 不同。	关键词
winlog.event_data	特定于事件的数据。此字段与 `user_data` 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据，则 `event_data` 中的参数将命名为 `param1`、`param2` 等，因为在早期版本的 Windows 中，事件日志参数是未命名的。	对象
winlog.event_data.Account	目标系统上的一个对象，用于建立用户在该目标系统上的身份。	关键词
winlog.event_data.Action		关键词
winlog.event_data.ActionId		关键词
winlog.event_data.Arguments		关键词
winlog.event_data.AuthChain	身份验证链提供了灵活的身份验证基础结构，允许您自定义最终用户的身份验证体验。身份验证链包含可用身份验证模块提供的身份验证方法。	关键词
winlog.event_data.AuthUser	身份验证用户。	关键词
winlog.event_data.BatchSig	请求批处理 ID。	关键词
winlog.event_data.Binding		关键词
winlog.event_data.CanceledBy	取消请求的用户。	关键词
winlog.event_data.ChangedBy	进行更改的用户。	关键词
winlog.event_data.Checkout		关键词
winlog.event_data.ClientIPs		ip
winlog.event_data.DelayThreshold		长整型
winlog.event_data.Description		关键词
winlog.event_data.EffectiveUser		关键词
winlog.event_data.ErrorCode		关键词
winlog.event_data.Event		关键词
winlog.event_data.EventID		关键词
winlog.event_data.FailedTargets		关键词
winlog.event_data.GroupSet		关键词
winlog.event_data.Hostname		关键词
winlog.event_data.Identity	识别用户。	关键词
winlog.event_data.Initiator		关键词
winlog.event_data.Instance		关键词
winlog.event_data.Issuer		关键词
winlog.event_data.Language	使用的语言。	关键词
winlog.event_data.LoginURL	用户登录 URL。	关键词
winlog.event_data.LogonDomain		关键词
winlog.event_data.LogonSystem		关键词
winlog.event_data.LogonUser		关键词
winlog.event_data.MAQ	账户设置访问权限。	关键词
winlog.event_data.Message		关键词
winlog.event_data.MessageType		关键词
winlog.event_data.Method		关键词
winlog.event_data.Module		关键词
winlog.event_data.Node		关键词
winlog.event_data.OSLogin		关键词
winlog.event_data.OTPLogin	API 登录。	关键词
winlog.event_data.Operation		关键词
winlog.event_data.Orchestration	订阅者编排。	关键词
winlog.event_data.Owner		关键词
winlog.event_data.Platform		关键词
winlog.event_data.Policy		关键词
winlog.event_data.Port		关键词
winlog.event_data.Procedure		关键词
winlog.event_data.Profile		关键词
winlog.event_data.QSetID	问题集 ID。	关键词
winlog.event_data.QSetType	问题集类型。	关键词
winlog.event_data.QueueDelay	数据库复制队列延迟。	长整型
winlog.event_data.QueueSize	数据库复制队列大小。	长整型
winlog.event_data.QueueType	数据库复制队列类型。	关键词
winlog.event_data.Reason		关键词
winlog.event_data.Recipient	请求的接收者。	关键词
winlog.event_data.Replica	副本数据库或服务器。	关键词
winlog.event_data.RequestID		关键词
winlog.event_data.Requester		关键词
winlog.event_data.Result		关键词
winlog.event_data.RevokedBy	工作流请求已被撤销。	关键词
winlog.event_data.Runtime		长整型
winlog.event_data.SPFolder	服务提供程序文件夹。	关键词
winlog.event_data.SessionID		关键词
winlog.event_data.Skin	Bravura Security Fabric 实例的皮肤。	关键词
winlog.event_data.Source		关键词
winlog.event_data.StoredProc	存储过程。	关键词
winlog.event_data.System		关键词
winlog.event_data.Target		关键词
winlog.event_data.TargetName		关键词
winlog.event_data.TermintedBy	请求被终止。	关键词
winlog.event_data.Type		关键词
winlog.event_data.URI	Bravura Security Fabric 服务器的 SOAP API 的 HTTP(S) 地址。	关键词
winlog.event_data.WaterMark	数据库复制水印。	关键词
winlog.event_data.Workstation		关键词
winlog.event_id	事件标识符。该值特定于事件的来源。	关键词
winlog.keywords	关键字用于对事件进行分类。	关键词
winlog.level	事件严重性。级别为严重、错误、警告和信息、详细。	关键词
winlog.opcode	事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。	关键词
winlog.outcome	事件的成功或失败。	关键词
winlog.process.pid	客户端服务器运行时进程的 process_id。	长整型
winlog.process.thread.id		长整型
winlog.provider_guid	用于标识记录事件的提供程序的全局唯一标识符。	关键词
winlog.provider_name	事件日志记录的来源（记录记录的应用程序或服务）。	关键词
winlog.record_id	事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（事件日志记录 API 为 2³²，Windows 事件日志 API 为 2⁶⁴），则下一条记录号将为 0。	关键词
winlog.related_activity_id	一个全局唯一标识符，用于标识控制权转移到的活动。相关的事件然后将此标识符作为其 `activity_id` 标识符。	关键词
winlog.symbolic_id	符号事件 ID	关键词
winlog.task	事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。事件日志记录 API（在 Windows Vista 之前的操作系统上）使用的类别将写入此字段。	关键词
winlog.time_created	事件创建时间	日期
winlog.trustAttribute		关键词
winlog.trustDirection		关键词
winlog.trustType		关键词
winlog.user.domain	与此事件关联的帐户所属的域。	关键词
winlog.user.identifier	与此事件关联的用户的标识符。	关键词
winlog.user.name	与此事件关联的用户的名称。	关键词
winlog.user.type	与此事件关联的帐户类型。	关键词
winlog.user_data	特定于事件的数据。此字段与 `event_data` 互斥。	对象
winlog.version	事件定义的版本号。	长整型

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.18.3	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时使用三括号 Mustache 模板。	8.7.1 或更高版本
1.18.2	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时使用三括号 Mustache 模板。	8.7.1 或更高版本
1.18.1	Bug 修复 (查看拉取请求) 将 error.code 转换为字符串	8.7.1 或更高版本
1.18.0	增强功能 (查看拉取请求) 向 winlog 输入添加缺失的选项	8.7.1 或更高版本
1.17.2	增强功能 (查看拉取请求) 更改所有者	8.7.1 或更高版本
1.17.1	Bug 修复 (查看拉取请求) 修复 exclude_files 模式。	8.7.1 或更高版本
1.17.0	增强功能 (查看拉取请求) ECS 版本已更新为 8.11.0。	8.7.1 或更高版本
1.16.0	增强功能 (查看拉取请求) 改进 event.original 检查，以避免在设置时出现错误。	8.7.1 或更高版本
1.15.1	Bug 修复 (查看拉取请求) 修复从 ECS 导入的空组的字段映射	8.7.1 或更高版本
1.15.0	增强功能 (查看拉取请求) 调整字段以适应文件系统信息的更改	8.7.1 或更高版本
1.14.0	增强功能 (查看拉取请求) 设置 partner 所有者类型。	8.7.1 或更高版本
1.13.0	增强功能 (查看拉取请求) ECS 版本已更新为 8.10.0。	8.7.1 或更高版本
1.12.0	增强功能 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。在软件包清单中添加了 owner.type: elastic。	8.7.1 或更高版本
1.11.1	Bug 修复 (查看拉取请求) 为了保持字段类型的一致性，请使用消息和标签的 ECS 值。	8.7.1 或更高版本
1.11.0	增强功能 (查看拉取请求) 添加 tags.yml 文件，以便集成的仪表板和已保存的搜索都标记为“安全解决方案”，并在安全解决方案 UI 中显示。	8.7.1 或更高版本
1.10.1	缺陷修复 (查看拉取请求) 将 `winlog.time_created` 设为日期类型。	8.7.1 或更高版本
1.10.0	增强 (查看拉取请求) 将包更新到 ECS 8.9.0。	8.7.1 或更高版本
1.9.1	增强 (查看拉取请求) 添加缺失的 Lens 可视化	8.7.1 或更高版本
1.9.0	增强 (查看拉取请求) 将仪表板转换为 Lens	8.7.1 或更高版本
1.8.1	缺陷修复 (查看拉取请求) 添加 ECS error.code 映射。	8.1.0 或更高版本
1.8.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.1.0 或更高版本
1.7.0	增强 (查看拉取请求) 将包更新到 ECS 8.8.0。	8.1.0 或更高版本
1.6.0	增强 (查看拉取请求) 将包更新到 ECS 8.7.0。	8.1.0 或更高版本
1.5.1	增强 (查看拉取请求) 添加了类别和/或子类别。	8.1.0 或更高版本
1.5.0	增强 (查看拉取请求) 品牌重塑为 Bravura Security（原 Hitachi ID）	8.1.0 或更高版本
1.4.0	增强 (查看拉取请求) 将包更新到 ECS 8.6.0。	—
1.3.2	增强 (查看拉取请求) 将仪表板中的可视化迁移到按值，以最大程度地减少保存的对象混乱并减少加载时间	8.1.0 或更高版本
1.3.1	缺陷修复 (查看拉取请求) 删除重复字段。	7.16.0 或更高版本 8.0.0 或更高版本
1.3.0	增强 (查看拉取请求) 将包更新到 ECS 8.5.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.2.3	缺陷修复 (查看拉取请求) 删除重复字段。	7.16.0 或更高版本 8.0.0 或更高版本
1.2.2	增强 (查看拉取请求) 使用 ECS geo.location 定义。	7.16.0 或更高版本 8.0.0 或更高版本
1.2.1	增强 (查看拉取请求) 删除未使用的可视化	7.16.0 或更高版本 8.0.0 或更高版本
1.2.0	增强 (查看拉取请求) 将包更新到 ECS 8.4.0	7.16.0 或更高版本 8.0.0 或更高版本
1.1.0	增强 (查看拉取请求) 将包更新到 ECS 8.3.0。	7.16.0 或更高版本 8.0.0 或更高版本
1.0.3	增强 (查看拉取请求) 更新自述文件	7.16.0 或更高版本 8.0.0 或更高版本
1.0.2	增强 (查看拉取请求) 添加多字段文档	7.16.0 或更高版本 8.0.0 或更高版本
1.0.1	增强 (查看拉取请求) 文档更新	7.16.0 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) 完整发布	7.16.0 或更高版本 8.0.0 或更高版本

« Box Events 集成 Broadcom ProxySG »