« Qualys 漏洞管理、检测和响应 (VMDR) RabbitMQ 集成 »
Elastic 文档 Elastic 集成

QNAP NAS

编辑

QNAP NAS

编辑

版本

1.20.1 (查看全部)

兼容的 Kibana 版本

8.7.1 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观察性

订阅级别
这是什么?

基本

支持级别
这是什么?

社区

QNAP NAS 集成从 QNAP NAS 设备收集事件和访问日志。

日志

编辑

log 数据集通过 syslog 协议接收 QNAP NAS 事件和访问日志。这已在 QTS 4.5.4 上测试过,但预计可用于新版本。此集成仅与使用 RFC-3164 syslog 格式的“发送到 Syslog 服务器”选项兼容。支持事件和访问事件。支持所有协议:UDP、TCP、TLS。

示例事件

编辑
示例

log 的示例事件如下:

{
    "@timestamp": "2022-10-30T20:24:24.000Z",
    "agent": {
        "ephemeral_id": "d78177be-a52f-47d7-ab88-ce74c24bde53",
        "id": "8ad7c85d-9943-4b05-b50f-ccab228ad581",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.1.0"
    },
    "data_stream": {
        "dataset": "qnap_nas.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "8ad7c85d-9943-4b05-b50f-ccab228ad581",
        "snapshot": false,
        "version": "8.1.0"
    },
    "event": {
        "action": "create-directory",
        "agent_id_status": "verified",
        "category": [
            "file"
        ],
        "created": "2022-10-30T20:24:24.000Z",
        "dataset": "qnap_nas.log",
        "ingested": "2022-11-24T09:21:53Z",
        "kind": "event",
        "provider": "conn-log",
        "timezone": "+00:00",
        "type": [
            "creation"
        ]
    },
    "file": {
        "path": "path/to/files/New folder"
    },
    "host": {
        "name": "qnap-nas01"
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "source": {
            "address": "172.24.0.4:35244"
        },
        "syslog": {
            "priority": 30
        }
    },
    "observer": {
        "product": "NAS",
        "type": "nas",
        "vendor": "QNAP"
    },
    "process": {
        "name": "qulogd",
        "pid": 14629
    },
    "qnap": {
        "nas": {
            "connection_type": "Samba",
            "file": {
                "path": "path/to/files/New folder"
            }
        }
    },
    "related": {
        "hosts": [
            "user-laptop"
        ],
        "ip": [
            "10.50.36.33"
        ],
        "user": [
            "admin.user"
        ]
    },
    "source": {
        "address": "10.50.36.33",
        "domain": "user-laptop",
        "ip": "10.50.36.33"
    },
    "tags": [
        "qnap-nas",
        "forwarded"
    ],
    "user": {
        "name": "admin.user"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段,必须存在于所有事件中。在跨多个索引(可能符合略微不同的 ECS 版本)进行查询时,此字段允许集成调整到事件的模式版本。

keyword

error.message

错误消息。

match_only_text

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-addprocess-startedfile-created。该值通常由实现者定义。

keyword

event.dataset

事件数据集

constant_keyword

event.ingested

事件到达中心数据存储时的时间戳。这与 @timestamp 不同,后者是事件最初发生的时间。它也与 event.created 不同,后者旨在捕获代理首次看到事件的时间。在正常情况下,假设没有篡改,时间戳在时间顺序上应如下所示:@timestamp < event.created < event.ingested

日期

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于演示日志完整性,或可能需要完整的日志消息(在将其拆分为多个部分之前)的位置,例如用于重新索引。此字段未被索引,并且禁用了 doc_values。它不能被搜索,但可以从 _source 中检索。如果用户希望覆盖此项并索引此字段,请参阅 Elasticsearch 参考中的 字段数据类型

keyword

event.timezone

当事件的时间戳不包含时区信息时,应填充此字段(例如,默认的 Syslog 时间戳)。否则它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写形式(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。

keyword

file.extension

文件扩展名,不包括前导点。请注意,当文件名有多个扩展名 (example.tar.gz) 时,只应捕获最后一个扩展名(“gz”,而不是 “tar.gz”)。

keyword

file.path

文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。

keyword

file.path.text

file.path 的多字段。

match_only_text

group.name

组的名称。

keyword

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

keyword

input.type

Filebeat 输入的类型。

keyword

log.file.path

日志文件的路径。

keyword

log.flags

日志文件的标志。

keyword

log.offset

日志文件中条目的偏移量。

long

log.source.address

从中读取/发送日志事件的源地址。

keyword

log.syslog.priority

如果可用,则事件的 Syslog 数字优先级。根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重性。因此,此数字应包含 0 到 191 之间的值。

long

message

对于日志事件,消息字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,则可以将它们合并为一条消息。

match_only_text

observer.product

观察者的产品名称。

keyword

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例是 forwarderfirewallidsipsproxypollersensorAPM server

keyword

observer.vendor

观察者的供应商名称。

keyword

process.name

进程名称。有时称为程序名称或类似名称。

keyword

process.name.text

process.name 的多字段。

match_only_text

process.pid

进程 ID。

long

qnap.nas.application

生成事件的 QNAP 应用程序

keyword

qnap.nas.category

生成事件的 QNAP 应用程序的子组件

keyword

qnap.nas.connection_type

连接类型(例如,Samba)

keyword

qnap.nas.file.new_path

被访问资源的重命名/移动路径

keyword

qnap.nas.file.path

被访问资源的路径

keyword

related.hosts

在事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

keyword

related.ip

在事件中看到的所有 IP。

ip

related.user

在事件中看到的所有用户名或其他用户标识符。

keyword

source.address

某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip.domain,具体取决于它是哪一个。

keyword

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。

long

source.as.organization.name

组织名称。

keyword

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.domain

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以从富化中添加。

keyword

source.geo.city_name

城市名称。

keyword

source.geo.continent_name

大洲的名称。

keyword

source.geo.country_iso_code

国家/地区的 ISO 代码。

keyword

source.geo.country_name

国家/地区的名称。

keyword

source.geo.location

经度和纬度。

geo_point

source.geo.region_iso_code

区域 ISO 代码。

keyword

source.geo.region_name

区域名称。

keyword

source.ip

源的 IP 地址(IPv4 或 IPv6)。

ip

tags

用于标记每个事件的关键字列表。

keyword

user.name

用户的简称或登录名。

keyword

user.name.text

user.name 的多字段。

match_only_text

user.target.name

用户的简称或登录名。

keyword

user.target.name.text

user.target.name 的多字段。

match_only_text

变更日志

编辑
变更日志
版本 详情 Kibana 版本

1.20.1

Bug 修复 (查看拉取请求)
在引用提取管道中的变量时,请使用三重大括号 Mustache 模板。

8.7.1 或更高版本

1.20.0

增强功能 (查看拉取请求)
将软件包规范更新到 3.0.3。

8.7.1 或更高版本

1.19.1

增强功能 (查看拉取请求)
已更改所有者

8.7.1 或更高版本

1.19.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。

8.7.1 或更高版本

1.18.0

增强功能 (查看拉取请求)
改进了对 *event.original* 的检查,以避免在设置时出错。

8.7.1 或更高版本

1.17.0

增强功能 (查看拉取请求)
设置 *community* 所有者类型。

8.7.1 或更高版本

1.16.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.10.0。

8.7.1 或更高版本

1.15.0

增强功能 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点式 YAML 键。将 *owner.type: elastic* 添加到软件包清单。

8.7.1 或更高版本

1.14.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便集成的仪表板和已保存的搜索标记为“安全解决方案”并在安全解决方案 UI 中显示。

8.7.1 或更高版本

1.13.0

增强功能 (查看拉取请求)
将软件包更新为 ECS 8.9.0。

8.7.1 或更高版本

1.12.0

增强功能 (查看拉取请求)
将可视化转换为 Lens。

8.7.1 或更高版本

1.11.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.1.0 或更高版本

1.10.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.8.0。

8.1.0 或更高版本

1.9.0

增强 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

8.1.0 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.7.0。

8.1.0 或更高版本

1.7.1

错误修复 (查看拉取请求)
确保正确解析数字时区。

8.1.0 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.6.0。

8.1.0 或更高版本

1.6.0

增强 (查看拉取请求)
udp_options 添加到 UDP 输入。

8.1.0 或更高版本

1.5.1

增强 (查看拉取请求)
将仪表板中的可视化迁移到按值进行,以最大限度地减少保存的对象混乱,并缩短加载时间

8.1.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.2.1

增强 (查看拉取请求)
在 readme 文件中添加了指向 QNAP 文档的链接

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
更新到 ECS 8.2

7.16.0 或更高版本
8.0.0 或更高版本

1.1.1

增强 (查看拉取请求)
添加多字段文档

7.16.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
更新到 ECS 8.0

7.16.0 或更高版本
8.0.0 或更高版本

1.0.1

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.16.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
初始版本

« Qualys 漏洞管理、检测和响应 (VMDR) RabbitMQ 集成 »