- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
Journald 输入
编辑Journald 输入
编辑journald 输入集成从 journald 系统服务读取日志。journald 输入读取日志数据及其相关的元数据。
journald 输入在安装了 systemd 的 Linux 系统上可用。
一个示例事件如下所示
{ "@timestamp": "2020-07-22T13:17:10.012Z", "agent": { "ephemeral_id": "f7858fe6-ce04-46d6-83c3-f45a4e019395", "id": "26693255-8a33-48c9-87cc-3d5f846c4bcd", "name": "docker-fleet-agent", "type": "filebeat", "version": "8.11.0" }, "data_stream": { "dataset": "journald.logs", "namespace": "ep", "type": "logs" }, "ecs": { "version": "8.0.0" }, "elastic_agent": { "id": "26693255-8a33-48c9-87cc-3d5f846c4bcd", "snapshot": true, "version": "8.11.0" }, "event": { "agent_id_status": "verified", "code": "ec387f577b844b8fa948f33cad9a75e6", "created": "2023-10-02T18:19:38.048Z", "dataset": "journald.logs", "ingested": "2023-10-02T18:19:41Z", "kind": "event" }, "host": { "hostname": "sleipnir", "id": "505afdafda3b4f33a63749ae39284742" }, "input": { "type": "journald" }, "journald": { "custom": { "available": "0", "available_pretty": "0B", "current_use": "1023455232", "current_use_pretty": "976.0M", "disk_available": "6866636800", "disk_available_pretty": "6.3G", "disk_keep_free": "1466253312", "disk_keep_free_pretty": "1.3G", "journal_name": "System journal", "journal_path": "/var/log/journal/505afdafda3b4f33a63749ae39284742", "limit": "977502208", "limit_pretty": "932.2M", "max_use": "977502208", "max_use_pretty": "932.2M" }, "gid": 0, "host": { "boot_id": "fa3c2e3080dc4cd5be5cb5a43e140d51" }, "pid": 19317, "process": { "capabilities": "25402800cf", "command_line": "/lib/systemd/systemd-journald", "executable": "/lib/systemd/systemd-journald", "name": "systemd-journal" }, "uid": 0 }, "log": { "syslog": { "appname": "systemd-journald", "facility": { "code": 3 }, "priority": 6 } }, "message": "System journal (/var/log/journal/505afdafda3b4f33a63749ae39284742) is 976.0M, max 932.2M, 0B free.", "process": { "args": [ "/lib/systemd/systemd-journald" ], "args_count": 1, "command_line": "/lib/systemd/systemd-journald", "pid": 19317, "thread": { "capabilities": { "effective": [ "CAP_CHOWN", "CAP_DAC_OVERRIDE", "CAP_DAC_READ_SEARCH", "CAP_FOWNER", "CAP_SETGID", "CAP_SETUID", "CAP_SYS_PTRACE", "CAP_SYS_ADMIN", "CAP_AUDIT_CONTROL", "CAP_MAC_OVERRIDE", "CAP_SYSLOG", "CAP_AUDIT_READ" ] } } }, "systemd": { "cgroup": "/system.slice/systemd-journald.service", "invocation_id": "7c11cda63635437bafe21c92851618a8", "slice": "system.slice", "transport": "driver", "unit": "systemd-journald.service" }, "tags": [ "forwarded" ], "user": { "group": { "id": "0" }, "id": "0" } }
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
container.log.tag |
用户定义的容器标签。源自 Docker journald 日志驱动程序。 |
关键字 |
container.partial |
当消息被分割时,标记日志完整性的字段。docker journald 日志驱动程序将长消息分割成多个事件。 |
布尔值 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而不管消息语言或随时间调整的措辞如何。Windows 事件 ID 就是一个例子。 |
关键字 |
host.hostname |
主机的hostname。它通常包含主机上 |
关键字 |
host.id |
唯一的主机 ID。由于 hostname 并不总是唯一的,请使用在您的环境中具有意义的值。例如:当前使用 |
关键字 |
input.type |
关键字 |
|
journald.audit.login_uid |
日志条目来源进程的登录 UID,由内核审计子系统维护。 |
长整型 |
journald.audit.session |
日志条目来源进程的会话,由内核审计子系统维护。 |
关键字 |
journald.code.file |
生成此消息的代码位置(如果已知)。包含源文件名。 |
关键字 |
journald.code.func |
生成此消息的代码位置(如果已知)。包含函数名。 |
关键字 |
journald.code.line |
生成此消息的代码位置(如果已知)。包含行号。 |
长整型 |
journald.coredump.unit |
用于注释包含来自系统单元的内核转储的消息。 |
关键字 |
journald.coredump.user_unit |
用于注释包含来自用户单元的内核转储的消息。 |
关键字 |
journald.custom |
调用者添加到日志消息中的结构化字段。 |
扁平化 |
journald.gid |
日志条目来源进程的组 ID,格式化为十进制字符串。请注意,通过分叉进程的“stdout”或“stderr”获得的条目将包含对父进程有效的凭据。 |
长整型 |
journald.host.boot_id |
消息生成所在引导的内核引导 ID,格式化为 128 位十六进制字符串。 |
关键字 |
journald.kernel.device |
内核设备名称。如果条目与块设备关联,则包含设备节点的主设备号和次设备号,以“:”分隔,并以“b”为前缀。字符设备类似,但以“c”为前缀。对于网络设备,这是以“n”为前缀的接口索引。对于所有其他设备,这是以“+”为前缀的子系统名称,后跟“:”,然后是内核设备名称。 |
关键字 |
journald.kernel.device_name |
内核设备名称,因为它显示在 |
关键字 |
journald.kernel.device_node_path |
此设备在 |
关键字 |
journald.kernel.device_symlinks |
指向 |
关键字 |
journald.kernel.subsystem |
内核子系统名称。 |
关键字 |
journald.object.audit.login_uid |
长整型 |
|
journald.object.audit.session |
长整型 |
|
journald.object.gid |
长整型 |
|
journald.object.pid |
特权程序(目前 UID 0)可以将 OBJECT_PID= 附加到消息。这将指示 systemd-journald 代表调用者附加额外的 |
长整型 |
journald.object.process.command_line |
关键字 |
|
journald.object.process.executable |
关键字 |
|
journald.object.process.name |
关键字 |
|
journald.object.systemd.owner_uid |
长整型 |
|
journald.object.systemd.session |
关键字 |
|
journald.object.systemd.unit |
关键字 |
|
journald.object.systemd.user_unit |
关键字 |
|
journald.object.uid |
长整型 |
|
journald.pid |
日志条目来源进程的进程 ID,格式化为十进制字符串。请注意,通过分叉进程的“stdout”或“stderr”获得的条目将包含对父进程有效的凭据。 |
长整型 |
journald.process.capabilities |
日志条目来源进程的有效 capabilities(7)。 |
关键字 |
journald.process.command_line |
日志条目来源进程的命令行。 |
关键字 |
journald.process.executable |
日志条目来源进程的可执行文件路径。 |
关键字 |
journald.process.name |
日志条目来源进程的名称。 |
关键字 |
journald.uid |
日志条目来源进程的用户 ID,格式化为十进制字符串。请注意,通过分叉进程的“stdout”或“stderr”获得的条目将包含对父进程有效的凭据。 |
长整型 |
log.syslog.facility.code |
日志事件的 Syslog 数字 facility(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整型 |
log.syslog.identifier |
Syslog 标头中包含的标识符(通常是进程)。 |
关键字 |
log.syslog.pid |
Syslog 标头中包含的 PID。 |
长整型 |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * facility + severity。因此,此数字应包含 0 到 191 之间的值。 |
长整型 |
message |
对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多个消息,则可以将它们组合成一个消息。 |
match_only_text |
process.args |
进程参数数组,从可执行文件的绝对路径开始。可能会进行过滤以保护敏感信息。 |
关键字 |
process.args_count |
process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量进行存储桶分析。更多参数可能表示可疑活动。 |
长整型 |
process.command_line |
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。 |
通配符 |
process.command_line.text |
|
match_only_text |
process.pid |
进程 ID。 |
长整型 |
process.thread.capabilities.effective |
这是内核用于对线程执行权限检查的一组 capabilities。 |
关键字 |
systemd.cgroup |
systemd 层次结构中的控制组路径。 |
关键字 |
systemd.invocation_id |
消息生成所在单元的运行时周期的调用 ID,在单元的 $INVOCATION_ID 中可用于进程。 |
关键字 |
systemd.owner_uid |
日志条目来源进程的 systemd 用户单元或 systemd 会话(如果有)的所有者 UID。 |
长整型 |
systemd.session |
systemd 会话 ID(如果有)。 |
关键字 |
systemd.slice |
systemd 切片单元名称。 |
关键字 |
systemd.transport |
条目如何被 journal 服务接收。 |
关键字 |
systemd.unit |
systemd 单元名称。 |
关键字 |
systemd.user_slice |
systemd 用户切片名称。 |
关键字 |
systemd.user_unit |
systemd 用户管理器中的单元名称(如果有)。 |
关键字 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
user.group.id |
系统/平台上组的唯一标识符。 |
关键字 |
user.id |
用户的唯一标识符。 |
关键字 |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.1.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
0.0.5 |
增强 (查看拉取请求) |
— |
0.0.4 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.0.3 |
增强 (查看拉取请求) |
— |
0.0.2 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |
On this page