« Lyve Cloud Memcahed 集成 »
Elastic 文档 Elastic 集成

Mattermost 集成

编辑

Mattermost 集成

编辑

版本

2.3.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

Mattermost 集成从 Mattermost 服务器收集日志。此集成已在 Mattermost 5.31.9 版本上测试过,但预计可与其他版本兼容。

日志

编辑

审计

编辑

对 Mattermost REST API 或 CLI 的所有访问都会被审计。

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

keyword

data_stream.dataset

数据流数据集名称。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

host.containerized

主机是否为容器。

布尔值

host.os.build

操作系统构建信息。

keyword

host.os.codename

操作系统代号(如果有)。

keyword

input.type

Filebeat 输入类型。

keyword

log.flags

日志文件的标志。

keyword

log.offset

日志文件中条目的偏移量。

长整型

mattermost.audit.api_path

REST API 端点

keyword

mattermost.audit.channel.id

受影响的频道 ID

keyword

mattermost.audit.channel.name

受影响的频道名称

keyword

mattermost.audit.channel.type

受影响的频道类型

keyword

mattermost.audit.cluster.id

Mattermost 集群 ID

keyword

mattermost.audit.error.message

Mattermost 错误消息

keyword

mattermost.audit.patch.id

已修补的频道/团队/用户...的 ID

keyword

mattermost.audit.patch.name

已修补的频道/团队/用户...的名称

keyword

mattermost.audit.patch.roles

已修补的用户的角色

keyword

mattermost.audit.patch.type

已修补的频道/团队/用户...的类型

keyword

mattermost.audit.post.channel.id

帖子的频道 ID

keyword

mattermost.audit.post.id

帖子 ID

keyword

mattermost.audit.post.pinned

帖子是否已固定到频道

布尔值

mattermost.audit.related.channel

与事件相关的频道列表

keyword

mattermost.audit.related.team

与事件相关的频道列表

keyword

mattermost.audit.session.id

用于调用 API 的会话 ID

keyword

mattermost.audit.status

操作/事件的结果,例如成功、失败、尝试...

keyword

mattermost.audit.team.id

受影响的团队 ID

keyword

mattermost.audit.team.name

受影响的团队名称

keyword

mattermost.audit.team.type

受影响的团队类型

keyword
示例

以下是 audit 的示例事件

{
    "@timestamp": "2021-12-04T23:19:32.051Z",
    "agent": {
        "ephemeral_id": "3a1ecfb2-18a4-46c9-9996-65f6853ed739",
        "id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "data_stream": {
        "dataset": "mattermost.audit",
        "namespace": "26102",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "updateConfig",
        "agent_id_status": "verified",
        "category": [
            "configuration"
        ],
        "dataset": "mattermost.audit",
        "ingested": "2024-06-12T03:15:44Z",
        "kind": "event",
        "original": "{\"timestamp\":\"2021-12-04 23:19:32.051 Z\",\"event\":\"updateConfig\",\"status\":\"success\",\"user_id\":\"ag99yu4i1if63jrui63tsmq57y\",\"session_id\":\"pjh4n69j3p883k7hhzippskcba\",\"ip_address\":\"172.19.0.1\",\"api_path\":\"/api/v4/config\",\"cluster_id\":\"jq3utry71f8a7q9qgebmjccf4r\",\"client\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36\"}",
        "outcome": "success",
        "type": [
            "change"
        ]
    },
    "host": {
        "architecture": "x86_64",
        "containerized": false,
        "hostname": "docker-fleet-agent",
        "id": "8259e024976a406e8a54cdbffeb84fec",
        "ip": [
            "172.19.0.7"
        ],
        "mac": [
            "02-42-AC-13-00-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "6.5.11-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/audit.log"
        },
        "offset": 0
    },
    "mattermost": {
        "audit": {
            "api_path": "/api/v4/config",
            "cluster": {
                "id": "jq3utry71f8a7q9qgebmjccf4r"
            },
            "session": {
                "id": "pjh4n69j3p883k7hhzippskcba"
            }
        }
    },
    "related": {
        "ip": [
            "172.19.0.1"
        ],
        "user": [
            "ag99yu4i1if63jrui63tsmq57y"
        ]
    },
    "source": {
        "address": "172.19.0.1",
        "ip": "172.19.0.1"
    },
    "tags": [
        "mattermost-audit",
        "preserve_original_event"
    ],
    "url": {
        "original": "/api/v4/config",
        "path": "/api/v4/config"
    },
    "user": {
        "id": "ag99yu4i1if63jrui63tsmq57y"
    },
    "user_agent": {
        "device": {
            "name": "Other"
        },
        "name": "Chrome",
        "original": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36",
        "os": {
            "full": "Windows 10",
            "name": "Windows",
            "version": "10"
        },
        "version": "96.0.4664.45"
    }
}

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

2.3.0

增强 (查看拉取请求)
不要在主接入管道中删除 event.original

8.13.0 或更高版本

2.2.0

增强 (查看拉取请求)
将 "preserve_original_event" 标签添加到 event.kind 设置为 "pipeline_error" 的文档。

8.13.0 或更高版本

2.1.1

Bug 修复 (查看拉取请求)
在引用接入管道中的变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

2.1.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中冗余的 ECS 字段。

8.13.0 或更高版本

2.0.1

Bug 修复 (查看拉取请求)
修复示例事件。

7.16.0 或更高版本
8.0.0 或更高版本

2.0.0

增强 (查看拉取请求)
使 event.type 字段符合 ECS 字段定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.18.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

7.16.0 或更高版本
8.0.0 或更高版本

1.17.3

Bug 修复 (查看拉取请求)
清理空值处理和 Painless 脚本

7.16.0 或更高版本
8.0.0 或更高版本

1.17.2

增强 (查看拉取请求)
更改所有者

7.16.0 或更高版本
8.0.0 或更高版本

1.17.1

Bug 修复 (查看拉取请求)
修复 exclude_files 模式。

7.16.0 或更高版本
8.0.0 或更高版本

1.17.0

增强 (查看拉取请求)
ECS 版本更新到 8.11.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.16.0

增强 (查看拉取请求)
改进对 event.original 的检查,以避免在设置时出错。

7.16.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
设置 community 所有者类型。

7.16.0 或更高版本
8.0.0 或更高版本

1.14.0

增强 (查看拉取请求)
ECS 版本更新到 8.10.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了带点的 YAML 键。向包清单添加了 owner.type: elastic

7.16.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便使用 "Security Solution" 标记集成的仪表板和保存的搜索,并在安全解决方案 UI 中显示。

7.16.0 或更高版本
8.0.0 或更高版本

1.11.0

增强 (查看拉取请求)
将包更新到 ECS 8.9.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.16.0 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
将包更新到 ECS 8.8.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将包更新到 ECS 8.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将包更新到 ECS 8.6.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将包更新到 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.2

增强 (查看拉取请求)
添加指向 Mattermost 文档的链接。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将包更新到 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.3.1

增强 (查看拉取请求)
更新包名称和描述,以符合标准措辞

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将包更新到 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
更新到 ECS 8.2

7.16.0 或更高版本
8.0.0 或更高版本

1.1.1

增强 (查看拉取请求)
添加多字段文档

7.16.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
更新到 ECS 8.0

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
包的初始草稿

7.16.0 或更高版本
8.0.0 或更高版本
« Lyve Cloud Memcahed 集成 »