« Microsoft Defender for Endpoint 集成 Microsoft DNS 服务器审计和分析日志 »
Elastic 文档 Elastic 集成 Microsoft

Microsoft DHCP

编辑

Microsoft DHCP

编辑

版本

1.24.3 (查看全部)

兼容的 Kibana 版本

7.14.0 或更高版本
8.0.0 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成从 Microsoft DHCP 日志收集日志和指标。

兼容性

编辑

此集成旨在支持 Windows Server 2008 及更高版本的 DHCP 日志格式。

日志
编辑

从 Microsoft DHCP 服务器提取日志,默认情况下使用以下文件名格式记录:%windir%\System32\DHCP\DhcpSrvLog-*.log

也可以从 Microsoft DHCPv6 服务器提取日志,默认情况下使用以下文件名格式记录:%windir%\System32\DHCP\DhcpV6SrvLog-*.log

有关 Microsoft DHCP 的相关文档可以在 位置找到。

示例

log 的示例事件如下所示

{
    "@timestamp": "2001-01-01T01:01:01.000-05:00",
    "agent": {
        "ephemeral_id": "599c360c-711b-41f0-8b3b-03101ce1808b",
        "id": "0874c904-40cc-4817-b0f8-557b17245c75",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.8.0"
    },
    "data_stream": {
        "dataset": "microsoft_dhcp.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "0874c904-40cc-4817-b0f8-557b17245c75",
        "snapshot": false,
        "version": "8.8.0"
    },
    "event": {
        "action": "dhcp-dns-update",
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "code": "35",
        "dataset": "microsoft_dhcp.log",
        "ingested": "2023-10-24T00:08:40Z",
        "kind": "event",
        "original": "35,01/01/01,01:01:01,DNS update request failed,192.168.2.1,host.test.com,000000000000,",
        "outcome": "failure",
        "reason": "DNS update request failed.",
        "timezone": "America/New_York",
        "type": [
            "connection",
            "denied"
        ]
    },
    "host": {
        "ip": [
            "192.168.128.7"
        ],
        "mac": [
            "02-42-C0-A8-80-07"
        ],
        "name": "docker-fleet-agent"
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/test-dhcp.log"
        },
        "offset": 2407
    },
    "message": "DNS update request failed",
    "observer": {
        "hostname": "docker-fleet-agent",
        "ip": [
            "192.168.128.7"
        ],
        "mac": [
            "02-42-C0-A8-80-07"
        ]
    },
    "source": {
        "address": "host.test.com",
        "domain": "host.test.com",
        "ip": "192.168.2.1",
        "mac": "00-00-00-00-00-00"
    },
    "tags": [
        "preserve_original_event",
        "forwarded",
        "microsoft_dhcp"
    ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段,必须存在于所有事件中。当跨多个索引进行查询时(这些索引可能符合稍微不同的 ECS 版本),此字段允许集成调整到事件的模式版本。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。例如 group-addprocess-startedfile-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大类”。例如,筛选 event.category:process 将生成与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当分类。

关键字

event.code

此事件的标识代码(如果存在)。某些事件源使用事件代码来明确识别消息,而不管消息语言或随时间的措辞调整如何。Windows 事件 ID 就是一个例子。

关键字

event.dataset

事件数据集

constant_keyword

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理第一次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

日期

event.kind

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息,而不具体说明事件的内容。例如,此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制,它还有助于了解数据是否以固定的间隔进入。

关键字

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于演示日志完整性或可能需要完整日志消息(在将其拆分为多个部分之前)的情况,例如,用于重新索引。此字段未编制索引,并且禁用了 doc_values。它无法搜索,但可以从 _source 中检索。如果用户希望覆盖此设置并为此字段编制索引,请参阅 Elasticsearch 参考 中的 字段数据类型

关键字

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 只是表示从生成事件的实体的角度来看,事件是表示成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可能会根据其视角填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,此字段应填充最能从事件生成器的角度捕获整体成功或失败的值。此外,请注意,并非所有事件都具有关联的结果。例如,此字段通常不为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.reason

根据来源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。当 event.action 从事件中捕获操作时,event.reason 描述了执行该操作的原因。例如,具有拒绝请求的 event.action 的 Web 代理也可以使用原因(例如 blocked site)填充 event.reason

关键字

event.timezone

当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。

关键字

event.type

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子类别”,当与 event.category 字段值一起使用时,可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当分类。

关键字

host.domain

主机所属的域名。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

host.name

主机的名称。它可以包含 Unix 系统上主机名返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

关键字

input.type

关键字

log.file.path

此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器盘符(如果适用)。如果事件不是从日志文件中读取的,请勿填充此字段。

关键字

log.offset

长整型

message

对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来,以形成事件的人工可读摘要。如果存在多条消息,则可以将它们合并为一条消息。

match_only_text

microsoft.dhcp.correlation_id

与客户端/服务器事务相关的 NAP 关联 ID。

关键字

microsoft.dhcp.dhc_id

相关的 DHCID(DHC DNS 记录)。

关键字

microsoft.dhcp.dns_error_code

传递给客户端的 DNS 错误代码。

关键字

microsoft.dhcp.duid.hex

主机的相关 DHCP 唯一标识符 (DUID) (DHCPv6)。

关键字

microsoft.dhcp.duid.length

DUID 字段的长度。

关键字

microsoft.dhcp.error_code

DHCP 服务器错误代码。

关键字

microsoft.dhcp.probation_time

在特定 IP 上租约结束之前的试用时间。

关键字

microsoft.dhcp.relay_agent_info

有关用于 DHCP 请求的 DHCP 中继代理的信息。

关键字

microsoft.dhcp.result

DHCP 结果类型,以数值表示,例如,“NoQuarantine”为 0,“Quaratine”为 1,“Drop Packet”为 2 等。

关键字

microsoft.dhcp.result_description

从数值表示的 DHCP 结果类型,例如,0 为“NoQuarantine”,1 为“Quarantine”,2 为“Drop Packet”等。

关键字

microsoft.dhcp.subnet_prefix

子网前缀的位数。

关键字

microsoft.dhcp.transaction_id

DHCP 事务 ID。

关键字

microsoft.dhcp.user.hex

用户的十六进制表示形式。

关键字

microsoft.dhcp.user.string

用户的字符串表示形式。

关键字

microsoft.dhcp.vendor.hex

供应商的十六进制表示形式。

关键字

microsoft.dhcp.vendor.string

供应商的字符串表示形式。

关键字

observer.hostname

观察者的主机名。

关键字

observer.ip

观察者的 IP 地址。

IP

observer.mac

观察者的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

source.address

某些事件源地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip.domain,具体取决于它是哪一个。

关键字

source.domain

源系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可以来自原始事件或从富化添加。

关键字

source.ip

源的 IP 地址(IPv4 或 IPv6)。

IP

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

tags

用于标记每个事件的关键字列表。

关键字

user.name

用户的短名称或登录名。

关键字

user.name.text

user.name 的多字段。

match_only_text

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.24.3

错误修复 (查看拉取请求)
在引用提取管道中的变量时,使用三重大括号 Mustache 模板。

7.14.0 或更高版本
8.0.0 或更高版本

1.24.2

增强 (查看拉取请求)
更改了所有者

7.14.0 或更高版本
8.0.0 或更高版本

1.24.1

缺陷修复 (查看拉取请求)
修复 exclude_files 模式。

7.14.0 或更高版本
8.0.0 或更高版本

1.24.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.23.0

增强 (查看拉取请求)
修复 host.* 的值并引入 source.*

7.14.0 或更高版本
8.0.0 或更高版本

1.22.0

增强 (查看拉取请求)
改进 event.original 检查以避免在设置时出错。

7.14.0 或更高版本
8.0.0 或更高版本

1.21.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.20.0

增强 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了带点的 YAML 键。将 owner.type: elastic 添加到包清单。

7.14.0 或更高版本
8.0.0 或更高版本

1.19.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

7.14.0 或更高版本
8.0.0 或更高版本

1.18.0

增强 (查看拉取请求)
根据数值添加 QResult 描述

7.14.0 或更高版本
8.0.0 或更高版本

1.17.0

增强 (查看拉取请求)
向 event.reason 添加长描述

7.14.0 或更高版本
8.0.0 或更高版本

1.16.0

增强 (查看拉取请求)
将包更新至 ECS 8.9.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.15.0

增强 (查看拉取请求)
将 package-spec 更新至 2.9.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.14.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

7.14.0 或更高版本
8.0.0 或更高版本

1.13.0

增强 (查看拉取请求)
将包更新至 ECS 8.8.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.12.0

增强 (查看拉取请求)
将 host.name 字段转换为小写

7.14.0 或更高版本
8.0.0 或更高版本

1.11.0

增强 (查看拉取请求)
将包更新至 ECS 8.7.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.10.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.14.0 或更高版本
8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
将包更新至 ECS 8.6.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
将包更新至 ECS 8.5.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
改进了客户端 ID 字段的处理。

7.14.0 或更高版本
8.0.0 或更高版本

1.7.1

增强 (查看拉取请求)
修复了指向 Microsoft 网站的超链接文档中的错误

7.14.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将 host.domain 更改为 host.name 以反映事件数据,然后从 host.name 中提取 host.domain

7.14.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将包更新至 ECS 8.4.0

7.14.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将包更新至 ECS 8.3.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.4.2

缺陷修复 (查看拉取请求)
根据 ECS 将 event.type 值从 end 更改为 stop

7.14.0 或更高版本
8.0.0 或更高版本

1.4.1

缺陷修复 (查看拉取请求)
按照 ECS 格式化 observer.mac,并为 event.category、event.outcome 和 event.type 添加缺少的映射。

7.14.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
更新至 ECS 8.2

7.14.0 或更高版本
8.0.0 或更高版本

1.3.1

增强 (查看拉取请求)
添加多字段文档

7.14.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
更新至 ECS 8.0

7.14.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加 DHCPv6 服务器支持

1.1.0

增强 (查看拉取请求)
添加更多 event.action 和 event.outcome 值

7.14.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
GA 集成

0.2.1

缺陷修复 (查看拉取请求)
将测试公有 IP 更改为支持的子集

0.2.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

0.1.1

增强 (查看拉取请求)
更新标题和描述。

0.1.0

增强 (查看拉取请求)
初始版本

« Microsoft Defender for Endpoint 集成 Microsoft DNS 服务器审计和分析日志 »