« 利用本地攻击检测 Lumos 集成 »
Elastic 文档 Elastic 集成

自定义日志包

编辑

自定义日志包

编辑

版本

2.3.2 (查看全部)

兼容的 Kibana 版本

8.8.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

自定义日志包用于摄取任意日志文件,并通过使用 Ingest Pipelines 配置来操作其内容/行。

为了使用此软件包,请按照以下步骤操作

  1. 在应从中收集日志的计算机上安装/设置 Elastic Agent
  2. 识别该计算机上的日志位置,例如 /tmp/custom.log。请注意,/var/log/*.log系统完全摄取,如果已使用系统集成,则无需添加此路径
  3. 注册自定义日志集成并将其添加到已安装的代理。为数据集指定一个适合日志用途的名称,例如,来自 Python 应用程序的日志的 python。确保配置步骤 2 中的路径
  4. 通过过滤 logs-* 索引到步骤 3 中给定的数据集名称,例如 logs-python,检查原始日志数据是否通过 Discover 进入
  5. 通过 Ingest Pipelines 配置解析规则,例如 JSON 解析或 grok 解析
  6. 创建一个自定义仪表板,分析传入的日志数据以满足您的需求

ECS 字段映射

编辑

此集成包括 ECS 动态模板,所有遵循 ECS 模式的字段都将获得正确的索引字段映射,无需手动添加。

更新日志

编辑
更新日志
版本 详情 Kibana 版本

2.3.2

增强 (查看拉取请求)
将软件包规范更新到 V3

8.8.0 或更高版本

2.3.1

增强 (查看拉取请求)
增强自定义选项的描述

8.8.0 或更高版本

2.3.0

增强 (查看拉取请求)
公开 exclude_files 选项

8.8.0 或更高版本

2.2.0

增强 (查看拉取请求)
公开 ignore_older 选项

8.8.0 或更高版本

2.1.0

增强 (查看拉取请求)
为消息字段添加映射

8.8.0 或更高版本

2.0.0

增强 (查看拉取请求)
从“集成”类型更改为“输入”类型

8.8.0 或更高版本

1.1.2

增强 (查看拉取请求)
添加了类别和/或子类别。

1.1.1

增强 (查看拉取请求)
改进文档

1.1.0

增强 (查看拉取请求)
添加自定义日志和处理器

1.0.0

增强 (查看拉取请求)
发布自定义日志为 GA

0.5.1

增强 (查看拉取请求)
与指南统一

0.5.0

增强 (查看拉取请求)
更新集成描述

0.4.6

增强 (查看拉取请求)
更新软件包所有者

0.1.0

增强 (查看拉取请求)
初始版本

« 利用本地攻击检测 Lumos 集成 »