Lumos 集成
编辑Lumos 集成
编辑Lumos 集成使用 Lumos 的 API 来检索活动日志并将其摄取到 Elasticsearch 中。这使您可以通过 Elasticsearch 搜索、观察和可视化活动日志。
运行此集成的 Elastic Agent 使用 Lumos 的 API 与 Lumos 的基础设施进行交互,以检索 Lumos 租户的活动日志。
配置
编辑在 Elastic 中启用集成
编辑- 在 Kibana 中,转到 管理 > 集成
- 在“搜索集成”搜索栏中,输入 Lumos。
- 从搜索结果中单击“Lumos”集成。
- 单击 添加 Lumos 按钮以添加 Lumos 集成。
配置 Lumos 活动日志数据流
编辑- 在 Lumos 中,转到 设置 > API 令牌
- 单击“添加 API 令牌”,输入名称和描述
- 复制以
lsk_开头的密钥 - 在 Elastic 中添加 Lumos 集成时,将您的密钥粘贴到
API 令牌字段中
日志
编辑活动日志
编辑活动日志总结了 Lumos 中发生的更改和事件的历史记录。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
input.type |
输入类型 |
keyword |
lumos.activity_logs.actor.actor_type |
执行者的类型 |
keyword |
lumos.activity_logs.actor.email |
执行者的电子邮件 |
keyword |
lumos.activity_logs.actor.family_name |
执行者的姓氏 |
keyword |
lumos.activity_logs.actor.given_name |
执行者的名字 |
keyword |
lumos.activity_logs.event_began_at |
事件开始的时间 |
keyword |
lumos.activity_logs.event_type_user_friendly |
事件的用户友好类型 |
keyword |
lumos.activity_logs.targets.name |
keyword |
|
lumos.activity_logs.targets.target_type |
keyword |
示例
activity 的示例事件如下所示
{
"@timestamp": "2024-06-12T03:14:31.761Z",
"agent": {
"ephemeral_id": "164152f0-95db-44c9-a369-1412cbf18efd",
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "lumos.activity_logs",
"namespace": "41003",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "SOD_POLICY_DELETED",
"agent_id_status": "verified",
"created": "2024-06-12T03:14:31.761Z",
"dataset": "lumos.activity_logs",
"id": "630b90cedc35a8a5f43361534099bee51e032f42dd442085fc76ef094d228f543c78fbe59c132df992cf71a6b8496504e8ebbc6020fbae1f34206676985412e7",
"ingested": "2024-06-12T03:14:43Z",
"kind": "event",
"outcome": "success",
"type": [
"info"
]
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "8259e024976a406e8a54cdbffeb84fec",
"ip": [
"172.19.0.7"
],
"mac": [
"02-42-AC-13-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "6.5.11-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"input": {
"type": "httpjson"
},
"lumos": {
"activity_logs": {
"actor": {
"actor_type": "Lumos user",
"email": "[email protected]",
"family_name": "Wile",
"given_name": "Coyote"
},
"event_began_at": "2024-03-12T16:09:14",
"event_type_user_friendly": "A user deleted a SOD Policy",
"targets": [
{
"name": "Untitled Rule",
"target_type": "SOD Policy"
}
]
}
},
"message": "{\"actor\":{\"actor_type\":\"Lumos user\",\"email\":\"[email protected]\",\"family_name\":\"Wile\",\"given_name\":\"Coyote\"},\"event_began_at\":\"2024-03-12T16:09:14\",\"event_hash\":\"630b90cedc35a8a5f43361534099bee51e032f42dd442085fc76ef094d228f543c78fbe59c132df992cf71a6b8496504e8ebbc6020fbae1f34206676985412e7\",\"event_metadata\":{},\"event_type\":\"SOD_POLICY_DELETED\",\"event_type_user_friendly\":\"A user deleted a SOD Policy\",\"outcome\":\"Succeeded\",\"targets\":[{\"name\":\"Untitled Rule\",\"target_type\":\"SOD Policy\"}]}"
}
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.4.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.2.1 |
Bug 修复 (查看拉取请求) |
8.12.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.12.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.12.1 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.12.1 或更高版本 |
0.1.0 |
增强 (查看拉取请求) |
— |