Pleasant Password Server
编辑Pleasant Password Server
编辑Pleasant Password Server 集成通过 TCP/UDP 或日志文件收集和解析从 Pleasant Password Server 收集的 DNS、DHCP 和审计数据。
数据流
编辑PPS 集成收集以下事件类型
- 日志
设置步骤
编辑- 启用与 TCP/UDP 输入的集成。
- 登录到 PPS WebUI。
-
配置 PPS 以使用以下步骤将消息发送到 Syslog 服务器。
- 从菜单转到“日志记录”→“Syslog 配置”
- 将 Syslog 配置设置为“已启用”
- 将主机名设置为 Fleet Agent 或负载均衡器的主机名
- 设置集成配置中使用的正确端口
- 设置 UDP 或 TCP
- (可选)设置 Facility
兼容性
编辑此模块已针对 `Pleasant Password Server 版本 7.11.44.0` 进行测试。
但是,它应该适用于所有版本。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有多种安装和管理 Elastic Agent 的方法
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent 并在安装它的系统上手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 映像都可从 Elastic Docker 注册表获得,并且我们提供了在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅Elastic Agent 最低要求。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
Pleasant Password Server或PPS。 - 从搜索结果中选择“Pleasant Password Server”集成。
- 选择“添加 Pleasant Password Server”以添加集成。
- 添加所有必需的集成配置参数。
- 选择“保存并继续”以保存集成。
日志示例
编辑以下是相应类别的示例日志
审计日志
编辑<134>Jan 23 09:49:10 SRV-PPS-001 Pleasant Password Server:192.168.1.2 - [email protected] - - Success - Syslog Settings Changed - User <[email protected]> Syslogging setting updated changing the host from <localhost> to <127.0.0.1> changing the port fr 127.0.0.1 23/01 09:49:10.894	 <134>Jan 23 11:32:57 SRV-PPS-001 Pleasant Password Server:192.168.1.2 - [email protected] - - Success - Password Fetched - User <[email protected]> fetched the password for <TOP/SECRET/PASSWORD> - test 127.0.0.1 23/01 11:32:57.857	 <134>Jan 23 12:20:07 SRV-PPS-001 Pleasant Password Server:0.0.0.0 - Backup Restore Service - - Success - Backup Occurred - User <Backup Restore Service> backing up database to <C:\ProgramData\Pleasant Solutions\Password Server\Backups\Backup 127.0.0.1 23/01 12:20:07.802	 <134>Jan 23 12:37:37 SRV-PPS-001 Pleasant Password Server:192.168.1.1 - [email protected] - - Success - Session Log On - User <[email protected]> logged on 127.0.0.1 23/01 12:37:37.346 <134>Jan 23 12:38:07 SRV-PPS-001 Pleasant Password Server:192.168.1.1 - [email protected] - - Success - Entry Updated - User <[email protected]> updated entry <TOP/SECRET/PASSWORD> changing the password 127.0.0.1 23/01 12:38:07.629	 <134>Jan 23 13:43:47 SRV-PPS-001 Pleasant Password Server:192.168.1.3 - [email protected] - - Success - Identity Verified - User <[email protected]> verified via ApplicationBasicOAuth 127.0.0.1 23/01 13:43:47.422	 <134>Jan 23 13:47:25 SRV-PPS-001 Pleasant Password Server:192.168.1.3 - [email protected] - - Error - Identity Not Verified - User <[email protected]> failed to verify themselves 127.0.0.1 23/01 13:47:25.593	 <134>Jan 23 13:47:25 SRV-PPS-001 Pleasant Password Server:192.168.1.3 - [email protected] - - Error - Sign-in Failed - User <[email protected]> sign-in denied 127.0.0.1 23/01 13:47:25.641	 <134>Jan 23 14:05:54 SRV-PPS-001 Pleasant Password Server:192.168.1.3 - [email protected] - - Success - Entry Created - User <[email protected]> created entry <TOP/SECRET/PASSWORD> as a duplicate 127.0.0.1 23/01 14:05:54.404	 <134>Jan 23 14:05:54 SRV-PPS-001 Pleasant Password Server:192.168.1.3 - [email protected] - - Success - Entry Duplicated - User <[email protected]> duplicated entry <TOP/SECRET/PASSWORD> 127.0.0.1 23/01 14:05:54.450	
日志
编辑这是 log 数据集。
示例
一个 log 的示例事件如下所示
{
"@timestamp": "2024-01-23T09:49:10.000+05:00",
"agent": {
"ephemeral_id": "4839a553-f2b3-4b50-8473-50087ad56a7c",
"id": "fb476fe0-ec94-4731-9642-3d09807f2a87",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.0.0"
},
"client": {
"ip": "192.168.1.2"
},
"data_stream": {
"dataset": "pps.log",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "fb476fe0-ec94-4731-9642-3d09807f2a87",
"snapshot": false,
"version": "8.0.0"
},
"event": {
"agent_id_status": "verified",
"created": "2024-01-23T09:49:10.000+05:00",
"dataset": "pps.log",
"ingested": "2024-01-23T22:18:43Z",
"kind": "event",
"original": "<134>Jan 23 09:49:10 SRV-PPS-001 Pleasant Password Server:192.168.1.2 - [email protected] - - Success - Syslog Settings Changed - User <[email protected]> Syslogging setting updated changing the host from <localhost> to <127.0.0.1> changing the port fr\t127.0.0.1\t23/01 09:49:10.894\t",
"outcome": "success",
"timezone": "+0500"
},
"host": {
"hostname": "SRV-PPS-001"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "172.24.0.7:44613"
},
"syslog": {
"priority": 134
}
},
"message": "Syslog Settings Changed - User <[email protected]> Syslogging setting updated changing the host from <localhost> to <127.0.0.1> changing the port fr\t127.0.0.1\t23/01 09:49:10.894\t",
"tags": [
"preserve_original_event",
"forwarded",
"pps-log"
],
"user": {
"domain": "name.test",
"email": "[email protected]",
"name": "user"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移量 |
long |
log.source.address |
日志源地址 |
keyword |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
0.3.0 |
增强功能 (查看拉取请求) |
— |
0.2.0 |
增强功能 (查看拉取请求) |
— |
0.1.2 |
增强功能 (查看拉取请求) |
— |
0.1.0 |
增强功能 (查看拉取请求) |
— |
0.0.1 |
增强功能 (查看拉取请求) |
— |