JumpCloud
编辑JumpCloud
编辑JumpCloud 集成允许您通过 Directory Insights API 监视与 JumpCloud 目录即服务相关的事件。
您可以在此处找到有关 JumpCloud 和 JumpCloud Directory Insights 的更多信息
数据流
编辑此集成使用名为“jumpcloud.events”的单个数据流。
要求
编辑具有 Elastic Agent 的 Elastic Stack 是基本要求。
另一个要求是具有活跃用户的已建立的 JumpCloud 租户。所有订阅级别都可以使用基本的 Directory Insights API 访问权限。
当前最低级别的订阅具有保留限制,最多可以访问最近 15 天的 Directory Insights 事件。其他订阅级别提供 90 天或更长的历史事件访问权限。
需要 JumpCloud API 密钥,JumpCloud 文档描述了如何创建密钥,请参见此处
此 JumpCloud Directory Insights API 的文档位于此处
配置
编辑JumpCloud API 密钥
编辑确保您已创建可以访问的 JumpCloud 管理员 API 密钥,请参阅上面的链接,其中提供了有关如何创建密钥的说明。
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到 管理 > 集成
- 在“搜索集成”搜索栏中键入 JumpCloud
- 从搜索结果中单击“JumpCloud”集成。
- 单击 添加 JumpCloud 按钮以添加 JumpCloud 集成。
- 根据需要配置集成
- 将集成分配给新的 Elastic Agent 主机或现有的 Elastic Agent 主机
事件
编辑JumpCloud 事件数据集提供来自已接收的 JumpCloud Directory Insights 事件的事件。
所有 JumpCloud Directory Insights 事件都可在 jumpcloud.events 字段组中使用。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
input.type |
关键字 |
|
jumpcloud.event.application.display_label |
关键字 |
|
jumpcloud.event.application.id |
关键字 |
|
jumpcloud.event.application.name |
关键字 |
|
jumpcloud.event.application.sso_url |
关键字 |
|
jumpcloud.event.association.action_source |
关键字 |
|
jumpcloud.event.association.connection.from.name |
关键字 |
|
jumpcloud.event.association.connection.from.object_id |
关键字 |
|
jumpcloud.event.association.connection.from.type |
关键字 |
|
jumpcloud.event.association.connection.to.name |
关键字 |
|
jumpcloud.event.association.connection.to.object_id |
关键字 |
|
jumpcloud.event.association.connection.to.type |
关键字 |
|
jumpcloud.event.association.op |
关键字 |
|
jumpcloud.event.attr |
关键字 |
|
jumpcloud.event.auth_context.auth_methods.duo.success |
布尔值 |
|
jumpcloud.event.auth_context.auth_methods.jumpcloud_protect.success |
布尔值 |
|
jumpcloud.event.auth_context.auth_methods.password.success |
布尔值 |
|
jumpcloud.event.auth_context.auth_methods.totp.success |
布尔值 |
|
jumpcloud.event.auth_context.auth_methods.webauthn.success |
布尔值 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.app_version |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.continent_code |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.country_code |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.latitude |
浮点数 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.longitude |
浮点数 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.region_code |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.region_name |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.geoip.timezone |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.id |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.ip |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.make |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.model |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.os |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.os_version |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.user_id |
关键字 |
|
jumpcloud.event.auth_context.jumpcloud_protect_device.username |
关键字 |
|
jumpcloud.event.auth_context.policies_applied.id |
关键字 |
|
jumpcloud.event.auth_context.policies_applied.metadata.action |
关键字 |
|
jumpcloud.event.auth_context.policies_applied.metadata.resource_type |
关键字 |
|
jumpcloud.event.auth_context.policies_applied.name |
关键字 |
|
jumpcloud.event.auth_meta.auth_methods.password.success |
布尔值 |
|
jumpcloud.event.auth_method |
关键字 |
|
jumpcloud.event.base |
关键字 |
|
jumpcloud.event.changes |
扁平化 |
|
jumpcloud.event.client_ip |
关键字 |
|
jumpcloud.event.connection_id |
关键字 |
|
jumpcloud.event.deref |
长整型 |
|
jumpcloud.event.dn |
关键字 |
|
jumpcloud.event.error_code |
长整型 |
|
jumpcloud.event.error_message |
关键字 |
|
jumpcloud.event.event_type |
关键字 |
|
jumpcloud.event.filter |
关键字 |
|
jumpcloud.event.geoip.continent_code |
关键字 |
|
jumpcloud.event.geoip.country_code |
关键字 |
|
jumpcloud.event.geoip.latitude |
浮点数 |
|
jumpcloud.event.geoip.longitude |
浮点数 |
|
jumpcloud.event.geoip.region_code |
关键字 |
|
jumpcloud.event.geoip.region_name |
关键字 |
|
jumpcloud.event.geoip.timezone |
关键字 |
|
jumpcloud.event.id |
关键字 |
|
jumpcloud.event.idp_initiated |
布尔值 |
|
jumpcloud.event.initiated_by.email |
关键字 |
|
jumpcloud.event.initiated_by.id |
关键字 |
|
jumpcloud.event.initiated_by.type |
关键字 |
|
jumpcloud.event.initiated_by.username |
关键字 |
|
jumpcloud.event.mech |
关键字 |
|
jumpcloud.event.message |
关键字 |
|
jumpcloud.event.mfa |
布尔值 |
|
jumpcloud.event.mfa_meta.type |
关键字 |
|
jumpcloud.event.number_of_results |
长整型 |
|
jumpcloud.event.operation_number |
长整型 |
|
jumpcloud.event.operation_type |
关键字 |
|
jumpcloud.event.organization |
关键字 |
|
jumpcloud.event.process_name |
关键字 |
|
jumpcloud.event.provider |
关键字 |
|
jumpcloud.event.resource.email_type |
关键字 |
|
jumpcloud.event.resource.id |
关键字 |
|
jumpcloud.event.resource.recipient_email |
关键字 |
|
jumpcloud.event.resource.type |
关键字 |
|
jumpcloud.event.resource.username |
关键字 |
|
jumpcloud.event.scope |
长整型 |
|
jumpcloud.event.service |
关键字 |
|
jumpcloud.event.src_ip |
关键字 |
|
jumpcloud.event.sso_token_success |
布尔值 |
|
jumpcloud.event.start_tls |
布尔值 |
|
jumpcloud.event.success |
布尔值 |
|
jumpcloud.event.system.displayName |
关键字 |
|
jumpcloud.event.system.hostname |
关键字 |
|
jumpcloud.event.system.id |
关键字 |
|
jumpcloud.event.system_timestamp |
关键字 |
|
jumpcloud.event.timestamp |
关键字 |
|
jumpcloud.event.tls_established |
布尔值 |
|
jumpcloud.event.useragent.device |
关键字 |
|
jumpcloud.event.useragent.major |
关键字 |
|
jumpcloud.event.useragent.minor |
关键字 |
|
jumpcloud.event.useragent.name |
关键字 |
|
jumpcloud.event.useragent.os |
关键字 |
|
jumpcloud.event.useragent.os_full |
关键字 |
|
jumpcloud.event.useragent.os_major |
关键字 |
|
jumpcloud.event.useragent.os_minor |
关键字 |
|
jumpcloud.event.useragent.os_name |
关键字 |
|
jumpcloud.event.useragent.os_patch |
关键字 |
|
jumpcloud.event.useragent.os_version |
关键字 |
|
jumpcloud.event.useragent.patch |
关键字 |
|
jumpcloud.event.useragent.version |
关键字 |
|
jumpcloud.event.username |
关键字 |
|
jumpcloud.event.version |
关键字 |
示例
用于 events 的示例事件如下所示
{
"@timestamp": "2023-01-14T08:16:06.495Z",
"agent": {
"ephemeral_id": "6bb5080e-3d3c-4b5c-8d62-af0f195b06c8",
"id": "747b3f2a-8b40-4ee3-9ddd-ec86e51f9342",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"client": {
"geo": {
"city_name": "London",
"continent_name": "Europe",
"country_iso_code": "GB",
"country_name": "United Kingdom",
"location": {
"lat": 51.5142,
"lon": -0.0931
},
"region_iso_code": "GB-ENG",
"region_name": "England"
},
"ip": "81.2.69.144"
},
"data_stream": {
"dataset": "jumpcloud.events",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "747b3f2a-8b40-4ee3-9ddd-ec86e51f9342",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "admin_login_attempt",
"agent_id_status": "verified",
"category": [
"authentication"
],
"created": "2023-10-26T06:57:29.823Z",
"dataset": "jumpcloud.events",
"id": "63c264c6c1bd55c1b7e901a4",
"ingested": "2023-10-26T06:57:32Z",
"module": "directory",
"original": "{\"@version\":\"1\",\"changes\":[{\"field\":\"active\",\"to\":true},{\"field\":\"displayName\",\"to\":\"Willy Wonka\"},{\"field\":\"emails\",\"to\":[{\"primary\":true,\"type\":\"work\",\"value\":\"[email protected]\"}]},{\"field\":\"externalId\",\"to\":\"63ec9bba89a64e507ce0a4c2\"},{\"field\":\"schemas\",\"to\":[\"urn:ietf:params:scim:schemas:core:2.0:User\",\"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User\"]}],\"client_ip\":\"81.2.69.144\",\"event_type\":\"admin_login_attempt\",\"geoip\":{\"continent_code\":\"OC\",\"country_code\":\"AU\",\"latitude\":-27.658,\"longitude\":152.8915,\"region_code\":\"QLD\",\"region_name\":\"Queensland\",\"timezone\":\"Australia/Brisbane\"},\"id\":\"63c264c6c1bd55c1b7e901a4\",\"initiated_by\":{\"email\":\"[email protected]\",\"id\":\"123456789abcdef123456789\",\"type\":\"admin\"},\"mfa\":true,\"organization\":\"1234abcdef123456789abcde\",\"provider\":null,\"service\":\"directory\",\"success\":true,\"timestamp\":\"2023-01-14T08:16:06.495Z\",\"useragent\":{\"device\":\"Mac\",\"major\":\"109\",\"minor\":\"0\",\"name\":\"Chrome\",\"os\":\"Mac OS X\",\"os_full\":\"Mac OS X 10.15.7\",\"os_major\":\"10\",\"os_minor\":\"15\",\"os_name\":\"Mac OS X\",\"os_patch\":\"7\",\"os_version\":\"10.15.7\",\"patch\":\"0\",\"version\":\"109.0.0.0\"}}",
"outcome": "success",
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"jumpcloud": {
"event": {
"changes": [
{
"field": "active",
"to": true
},
{
"field": "displayName",
"to": "Willy Wonka"
},
{
"field": "emails",
"to": [
{
"primary": true,
"type": "work",
"value": "[email protected]"
}
]
},
{
"field": "externalId",
"to": "63ec9bba89a64e507ce0a4c2"
},
{
"field": "schemas",
"to": [
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
]
}
],
"client_ip": "81.2.69.144",
"event_type": "admin_login_attempt",
"geoip": {
"continent_code": "OC",
"country_code": "AU",
"latitude": -27.658,
"longitude": 152.8915,
"region_code": "QLD",
"region_name": "Queensland",
"timezone": "Australia/Brisbane"
},
"id": "63c264c6c1bd55c1b7e901a4",
"initiated_by": {
"email": "[email protected]",
"id": "123456789abcdef123456789",
"type": "admin"
},
"mfa": true,
"organization": "1234abcdef123456789abcde",
"service": "directory",
"success": true,
"timestamp": "2023-01-14T08:16:06.495Z",
"useragent": {
"device": "Mac",
"major": "109",
"minor": "0",
"name": "Chrome",
"os": "Mac OS X",
"os_full": "Mac OS X 10.15.7",
"os_major": "10",
"os_minor": "15",
"os_name": "Mac OS X",
"os_patch": "7",
"os_version": "10.15.7",
"patch": "0",
"version": "109.0.0.0"
},
"version": "1"
}
},
"source": {
"user": {
"email": "[email protected]",
"id": "123456789abcdef123456789"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded"
],
"user_agent": {
"device": {
"name": "Mac"
},
"name": "Chrome",
"os": {
"full": "Mac OS X 10.15.7",
"name": "Mac OS X",
"version": "10.15.7"
},
"version": "109.0.0.0"
}
}
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.14.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.9.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.2 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
0.0.2 |
错误修复 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |