« Logstash ESET PROTECT »
Elastic 文档 Elastic 集成 Elastic Stack 监控

平台可观测性

编辑

平台可观测性

编辑

版本

0.0.2 [beta] 此功能为测试版,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不提供任何保证。测试版功能不受官方 GA 功能的支持 SLA 约束。 (查看全部)

兼容的 Kibana 版本

8.3.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基础

兼容性

编辑

此软件包适用于 Kibana 8.3.0 及更高版本。

Kibana 日志

编辑

Kibana 集成从 Kibana 实例收集日志。

日志
编辑
审计
编辑

审计日志收集 Kibana 审计日志

示例

一个 kibana_audit 的示例事件如下所示

{
    "event": {
        "action": "http_request",
        "category": [
            "web"
        ],
        "outcome": "unknown"
    },
    "http": {
        "request": {
            "method": "get"
        }
    },
    "url": {
        "domain": "localhost",
        "path": "/internal/security/session",
        "port": 5601,
        "scheme": "http"
    },
    "user": {
        "name": "elastic",
        "roles": [
            "superuser"
        ]
    },
    "kibana": {
        "space_id": "default",
        "session_id": "ccZ0sbxrmmJwo+/y2Mn1tmGIrKOuZYaF8voUh0SkA/k="
    },
    "trace": {
        "id": "1c8c5808-d2d6-41fc-8cb7-998aa8996be9"
    },
    "ecs": {
        "version": "8.0.0"
    },
    "@timestamp": "2022-06-29T12:05:03.742+00:00",
    "message": "User is requesting [/internal/security/session] endpoint",
    "log": {
        "level": "INFO",
        "logger": "plugins.security.audit.ecs"
    },
    "process": {
        "pid": 7
    },
    "transaction": {
        "id": "f8863d86567119e6"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必需字段,必须存在于所有事件中。当跨多个索引进行查询时(这些索引可能符合略有不同的 ECS 版本),此字段允许集成调整到事件的架构版本。

keyword

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实施者定义。

keyword

event.category

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如,筛选 event.category:process 会产生所有与进程活动相关的事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当的分类。

keyword

event.dataset

数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则使用数据集来指定事件来自哪个日志或事件。建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。

keyword

event.ingested

事件到达中央数据存储区的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

日期

event.kind

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。event.kind 提供关于事件包含的信息类型的高级信息,而不具体说明事件的内容。例如,此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制,它还可以帮助了解传入的数据是否以规则的间隔到达。

keyword

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从生成事件的实体的角度来看,事件是成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可以根据它们的角度填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,应使用从事件生成者的角度来看最能捕获整体成功或失败的值来填充此字段。此外,并非所有事件都有关联的结果。例如,对于指标事件、event.type:info 的事件或任何结果不合逻辑的事件,通常不填充此字段。

keyword

http.request.method

HTTP 请求方法。该值应保留其原始事件中的大小写。例如,GETgetGeT 都被认为是此字段的有效值。

keyword

kibana.add_to_spaces

共享保存对象的空间 ID 集。

keyword

kibana.authentication_provider

与登录事件关联的身份验证提供程序。

keyword

kibana.authentication_realm

满足登录事件的 Elasticsearch 身份验证领域名称。

keyword

kibana.authentication_type

与登录事件关联的身份验证提供程序类型。

keyword

kibana.delete_from_spaces

从中删除保存对象的空间 ID 集。

keyword

kibana.lookup_realm

满足登录事件的 Elasticsearch 查找领域。

keyword

kibana.saved_object.id

与此事件关联的保存对象的 ID。

keyword

kibana.saved_object.type

与此事件关联的保存对象的类型。

keyword

kibana.session_id

与此事件关联的用户会话的 ID。每次登录尝试都会产生一个唯一的会话 ID。

keyword

kibana.space_id

与此事件关联的空间 ID。

keyword

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性,则这是 log.level 中的值。如果您的来源未指定日志级别,您可以在此处放置事件传输的严重性(例如,Syslog 严重性)。一些示例是 warnerriinformational

keyword

log.logger

应用程序内部记录器的名称。这通常是初始化记录器的类的名称,也可以是自定义名称。

keyword

message

对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多个消息,则可以将它们组合为一个消息。

match_only_text

process.pid

进程 ID。

long

trace.id

跟踪的唯一标识符。跟踪将多个事件(如属于一起的事务)分组在一起。例如,由多个互连服务处理的用户请求。

keyword

transaction.id

在其跟踪范围内事务的唯一标识符。事务是在服务中度量的最高级别的工作,例如对服务器的请求。

keyword

url.domain

URL 的域,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到 domain 字段。如果 URL 包含用 [] (IETF RFC 2732) 括起来的文字 IPv6 地址,则 [] 字符也应捕获在 domain 字段中。

keyword

url.path

请求的路径,例如 "/search"。

wildcard

url.port

请求的端口,例如 443。

long

url.query

查询字段描述请求的查询字符串,例如 "q=elasticsearch"。查询字符串中不包含 ?。如果 URL 不包含 ?,则没有查询字段。如果存在 ? 但没有查询,则查询字段存在,并且为空字符串。exists 查询可用于区分这两种情况。

keyword

url.scheme

请求的方案,例如 "https"。注意:: 不是方案的一部分。

keyword

user.name

用户的简称或登录名。

keyword

user.name.text

user.name 的多字段。

match_only_text

user.roles

事件发生时用户的角色数组。

keyword
日志
编辑

日志收集 Kibana 日志

示例

一个 kibana_log 的示例事件如下所示

{
    "http": {
        "request": {
            "id": "unknownId",
            "method": "GET"
        },
        "response": {
            "body": {
                "bytes": 118
            },
            "status_code": 200
        }
    },
    "url": {
        "path": "/_nodes",
        "query": "filter_path=nodes.*.version%2Cnodes.*.http.publish_address%2Cnodes.*.ip"
    },
    "ecs": {
        "version": "8.0.0"
    },
    "@timestamp": "2022-07-14T10:35:25.366+00:00",
    "message": "200 - 118.0B\nGET /_nodes?filter_path=nodes.*.version%2Cnodes.*.http.publish_address%2Cnodes.*.ip",
    "log": {
        "level": "DEBUG",
        "logger": "elasticsearch.query.data"
    },
    "process": {
        "pid": 7
    },
    "trace": {
        "id": "0cd8dd5a3483159a43c07e9205432775"
    },
    "transaction": {
        "id": "6301eca88fba8d99"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必需字段,必须存在于所有事件中。当跨多个索引进行查询时(这些索引可能符合略有不同的 ECS 版本),此字段允许集成调整到事件的架构版本。

keyword

event.dataset

数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则使用数据集来指定事件来自哪个日志或事件。建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。

keyword

event.ingested

事件到达中央数据存储区的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

日期

event.kind

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级别。event.kind 提供关于事件包含的信息类型的高级信息,而不具体说明事件的内容。例如,此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制,它还可以帮助了解传入的数据是否以规则的间隔到达。

keyword

event.outcome

这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从生成事件的实体的角度来看,事件是成功还是失败。请注意,当单个事务在多个事件中描述时,每个事件可以根据它们的角度填充不同的 event.outcome 值。另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,应使用从事件生成者的角度来看最能捕获整体成功或失败的值来填充此字段。此外,并非所有事件都有关联的结果。例如,对于指标事件、event.type:info 的事件或任何结果不合逻辑的事件,通常不填充此字段。

keyword

http.request.id

每个 HTTP 请求的唯一标识符,用于关联事务中客户端和服务器之间的日志。ID 可能包含在非标准 HTTP 标头中,例如 X-Request-IDX-Correlation-ID

keyword

http.request.method

HTTP 请求方法。该值应保留其原始事件中的大小写。例如,GETgetGeT 都被认为是此字段的有效值。

keyword

http.response.body.bytes

响应正文的大小(以字节为单位)。

long

http.response.status_code

HTTP 响应状态代码。

long

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性,则这是 log.level 中的值。如果您的来源未指定日志级别,您可以在此处放置事件传输的严重性(例如,Syslog 严重性)。一些示例是 warnerriinformational

keyword

log.logger

应用程序内部记录器的名称。这通常是初始化记录器的类的名称,也可以是自定义名称。

keyword

message

对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多个消息,则可以将它们组合为一个消息。

match_only_text

process.pid

进程 ID。

long

trace.id

跟踪的唯一标识符。跟踪将多个事件(如属于一起的事务)分组在一起。例如,由多个互连服务处理的用户请求。

keyword

transaction.id

在其跟踪范围内事务的唯一标识符。事务是在服务中度量的最高级别的工作,例如对服务器的请求。

keyword

url.path

请求的路径,例如 "/search"。

wildcard

url.query

查询字段描述请求的查询字符串,例如 "q=elasticsearch"。查询字符串中不包含 ?。如果 URL 不包含 ?,则没有查询字段。如果存在 ? 但没有查询,则查询字段存在,并且为空字符串。exists 查询可用于区分这两种情况。

keyword

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

0.0.2

增强 (查看拉取请求)
添加了类别和/或子类别。

0.0.1

增强 (查看拉取请求)
软件包的初始草稿

« Logstash ESET PROTECT »