Lyve Cloud
编辑Lyve Cloud
编辑Lyve Cloud 是您简单、可靠且高效的按需海量容量存储解决方案。Lyve Cloud 旨在与 Amazon S3 兼容。
Lyve Cloud 日志集成
编辑Lyve Cloud 日志集成向用户提供了一种从 Lyve Cloud 的 审计日志存储桶 收集日志的方法
设置 Lyve Cloud 集成时,您将需要目标存储桶名称和访问该存储桶的密钥凭据。然后,您可以在 Kibana 中可视化该数据,并在排查问题时参考数据。
使用 s3 API 审计日志信息,您可以识别已发生的事件、发生时间以及执行操作的用户。
设置
编辑在添加集成之前,您必须在 Lyve Cloud 控制台中完成以下任务,才能读取 Lyve Cloud 存储桶中可用的日志
- 使用管理员帐户登录。
- 创建一个目标存储桶以保存日志。
- 启用 S3 API 审计日志。
配置
编辑- 单击代理配置屏幕右上角的“添加 Lyve Cloud”按钮,为弹性代理创建策略。
- 打开“从 Lyve Cloud 收集日志”的开关,在“更改默认值”下填写摄取正确日志所需的访问密钥、密钥、存储桶名称和端点信息。
- 给出一个“新代理策略名称”,单击“保存并继续”,然后单击“添加到主机”。
- 按照 Elastic 的说明添加代理,即可开始使用。
仪表板和日志监控
编辑在创建新仪表板或在过滤器框内的其他分析搜索字段中使用 - `data_stream.dataset:"lyve_cloud.audit" ` 筛选出 Lyve Cloud 日志。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
client.geo.location.lat |
经度和纬度。 |
geo_point |
client.geo.location.lon |
经度和纬度。 |
geo_point |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.module |
事件模块 |
常量关键字 |
host.containerized |
主机是否是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
Filebeat 输入的类型。 |
关键字 |
lyve_cloud.audit.auditEntry.api.bucket |
对其执行操作的存储桶。 |
关键字 |
lyve_cloud.audit.auditEntry.api.name |
表示操作的名称。 |
关键字 |
lyve_cloud.audit.auditEntry.api.object |
对象名称 |
关键字 |
lyve_cloud.audit.auditEntry.api.status |
表示 http 状态,显式使用字符串而不是代码。 |
关键字 |
lyve_cloud.audit.auditEntry.api.timeToFirstByte |
表示第一个数据包到达的时间,单位为纳秒。 |
长整型 |
lyve_cloud.audit.auditEntry.api.timeToResponse |
表示响应时间,单位为纳秒。 |
长整型 |
lyve_cloud.audit.auditEntry.requestHeader.X-Forwarded-For |
标识通过代理服务器连接到 Web 服务器的客户端的原始 IP 地址。 |
关键字 |
lyve_cloud.audit.auditEntry.requestHeader.X-Forwarded-Host |
标识客户端在 Host HTTP 请求标头中请求的原始主机。 |
关键字 |
lyve_cloud.audit.auditEntry.requestHeader.X-Forwarded-Port |
帮助您标识客户端用于连接到负载均衡器的目标端口 |
长整型 |
lyve_cloud.audit.auditEntry.requestHeader.X-Real-Ip |
表示 http 请求用户的 IP。 |
关键字 |
lyve_cloud.audit.auditEntry.responseHeader.Accept-Ranges |
服务器用来声明其支持客户端文件下载的部分请求的标记。 |
关键字 |
lyve_cloud.audit.auditEntry.responseHeader.Last-Modified |
包含资源上次修改的日期和时间 |
关键字 |
lyve_cloud.audit.auditEntry.responseHeader.X-Amz-Bucket-Region |
执行日志操作的区域。 |
关键字 |
lyve_cloud.audit.auditEntry.responseHeader.X-Amz-Object-Lock-Mode |
对象保留模式 |
关键字 |
lyve_cloud.audit.auditEntry.responseHeader.X-Amz-Server-Side-Encryption |
服务器端加密的标识符 |
关键字 |
lyve_cloud.audit.auditEntry.responseHeader.object_lock_retain_until_date |
对象保留期限 |
日期 |
lyve_cloud.audit.auditEntry.responseHeader.x-amz-version-id |
对象的版本。当启用版本控制时。 |
关键字 |
lyve_cloud.audit.auditEntry.version |
表示审计日志结构的当前版本。 |
关键字 |
source.geo.location.lat |
经度和纬度。 |
geo_point |
source.geo.location.lon |
经度和纬度。 |
geo_point |
示例
一个关于 audit 的示例事件如下所示
{
"@timestamp": "2022-10-20T12:52:42.974Z",
"cloud": {
"provider": "lyvecloud"
},
"ecs": {
"version": "8.11.0"
},
"event": {
"original": "{\"auditEntry\": {\"api\": {\"name\": \"GetBucketLocation\", \"bucket\": \"user-name-t10\", \"status\": \"OK\", \"statusCode\": 200, \"timeToResponse\": \"27121602ns\", \"timeToFirstByte\": \"27072750ns\"}, \"time\": \"2022-10-20T12:52:42.974686686Z\", \"version\": \"1\", \"requestID\": \"171FC8111B3F560B\", \"userAgent\": \"MinIO (linux; amd64) minio-go/v7.0.15\", \"deploymentid\": \"8fe8887f-d1e2-4918-9e33-52bfba3b0de8\", \"requestQuery\": {\"location\": \"\"}, \"requestHeader\": {\"X-Real-Ip\": \"10.213.135.144:28911\", \"User-Agent\": \"aws-cli/2.7.7 Python/3.9.11 Linux/5.15.0-52-generic exe/x86_64.ubuntu.20 prompt/off command/s3api.head-object\", \"X-Amz-Date\": \"20221024T083808Z\", \"Authorization\": \"AWS4-HMAC-SHA256 Credential=<redacted>/20221024/us-east-1/s3/aws4_request, SignedHeaders=host;x-amz-content-sha256;x-amz-date, Signature=<redacted>\", \"Accept-Encoding\": \"identity\", \"X-Forwarded-For\": \"1.128.0.0, 10.213.135.144\", \"X-Forwarded-Host\": \"s3.us-east-1.lyvecloud.seagate.com\", \"X-Forwarded-Proto\": \"https\", \"X-Amz-Content-Sha256\": \"e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855\"}, \"responseHeader\": {\"ETag\": \"b1946ac92492d2347c6235b4d2611184\", \"Vary\": \"Origin\", \"Content-Type\": \"application/octet-stream\", \"Accept-Ranges\": \"bytes\", \"Last-Modified\": \"Sun, 23 Oct 2022 12:51:23 GMT\", \"Content-Length\": \"6\", \"X-Amz-Request-Id\": \"1720F4788755136D\", \"X-Xss-Protection\": \"1; mode=block\", \"x-amz-version-id\": \"ab44978d-0929-4c3a-8d52-17157c1fb6ad\", \"X-Amz-Bucket-Region\": \"us-east-1\", \"X-Amz-Object-Lock-Mode\": \"COMPLIANCE\", \"Content-Security-Policy\": \"block-all-mixed-content\", \"X-Amz-Server-Side-Encryption\": \"AES256\", \"X-Amz-Object-Lock-Retain-Until-Date\": \"2022-10-27T12:51:23.250Z\"}}, \"serviceAccountName\": \"user-name-terraform\", \"serviceAccountCreatorId\": \"[email protected]\"}"
},
"http": {
"response": {
"body": {
"bytes": 6
},
"mime_type": "application/octet-stream",
"status_code": 200
}
},
"log": {
"file": {
"path": "https://s3.us-east-1.lyvecloud.seagate.com/logss001/October-2022/S3-2022-20-10-14-09-31.gz"
}
},
"lyve_cloud": {
"audit": {
"auditEntry": {
"api": {
"bucket": "user-name-t10",
"name": "GetBucketLocation",
"status": "OK",
"timeToFirstByte": 27072750,
"timeToResponse": 27121602
},
"requestHeader": {
"X-Forwarded-For": "1.128.0.0, 10.213.135.144",
"X-Forwarded-Host": "s3.us-east-1.lyvecloud.seagate.com",
"X-Real-Ip": "10.213.135.144:28911"
},
"responseHeader": {
"Accept-Ranges": "bytes",
"Last-Modified": "Sun, 23 Oct 2022 12:51:23 GMT",
"X-Amz-Bucket-Region": "us-east-1",
"X-Amz-Object-Lock-Mode": "COMPLIANCE",
"X-Amz-Server-Side-Encryption": "AES256",
"object_lock_retain_until_date": "2022-10-27T12:51:23.250Z",
"x-amz-version-id": "ab44978d-0929-4c3a-8d52-17157c1fb6ad"
},
"version": "1"
}
}
},
"related": {
"ip": [
"1.128.0.0",
"10.213.135.144"
],
"user": [
"user-name-terraform"
]
},
"tags": [
"preserve_original_event"
],
"user": {
"email": "[email protected]",
"id": "[email protected]",
"name": "user-name-terraform"
},
"user_agent": {
"device": {
"name": "Other"
},
"name": "Other",
"original": "MinIO (linux; amd64) minio-go/v7.0.15"
}
}
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.16.0 |
增强 ( 查看拉取请求 ) |
8.13.0 或更高版本 |
1.15.0 |
增强 ( 查看拉取请求 ) |
8.13.0 或更高版本 |
1.14.1 |
错误修复 ( 查看拉取请求 ) |
8.13.0 或更高版本 |
1.14.0 |
增强 ( 查看拉取请求 ) |
8.13.0 或更高版本 |
1.13.0 |
增强 ( 查看拉取请求 ) |
8.12.0 或更高版本 |
1.12.1 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.12.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.11.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.10.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.9.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.8.0 |
错误修复 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.7.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.6.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.5.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.4.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.3.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.2.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.1.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.0.2 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.0.1 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |
1.0.0 |
增强 ( 查看拉取请求 ) |
8.5.0 或更高版本 |