Teleport 审计事件集成
编辑Teleport 审计事件集成
编辑概述
编辑Teleport 为基础设施提供连接、身份验证、访问控制和审计功能。
此集成可从 Teleport 摄取审计事件。您可以使用它来执行历史分析、检测异常行为,并更好地了解用户如何与您的 Teleport 集群交互。
使用此集成来收集和解析来自 Teleport 支持的各种事件的审计事件日志。然后使用包含的仪表板在 Kibana 中可视化该数据,创建警报以在出现问题时通知您,并在排除问题时参考日志。
例如,您可以筛选失败的授权事件,并检查这些尝试次数随时间变化的图表,以及客户端的地理位置和相关用户名等数据点。
数据流
编辑teleport 集成收集以下日志
- audit 提供来自 Teleport 审计日志的事件。
要求
编辑必须安装 Elastic Agent。有关更多详细信息和安装说明,请参阅Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的方法
安装 Fleet 管理的 Elastic Agent(推荐)
编辑通过这种方法,您安装 Elastic Agent,并在 Kibana 中使用 Fleet 来定义、配置和管理中心位置的代理。我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑通过这种方法,您安装 Elastic Agent,并在安装代理的系统上手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表获得,并且我们提供了用于在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。有关更多信息,请参阅Elastic Agent 最低要求。
设置
编辑请查看关于配置 Teleport 的事件处理程序插件的指南,使其将审计日志发送到 Elasticsearch 实例。
请参阅入门指南,了解有关设置 Elastic Stack 的说明。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理”>“集成”。
- 在顶部栏的“搜索集成”中,搜索
Teleport。 - 从搜索结果中选择“Teleport”集成。
- 选择“添加 Teleport”以添加集成。
- 添加所有必需的集成配置参数,包括路径。
- 选择“保存并继续”以保存集成。
参考
编辑日志 帮助您记录 Teleport 中发生的事件。
审计事件日志
编辑audit 数据流从 Teleport 审计日志中收集 JSON 文档。
事件字段将映射到 Elastic Common Schema、其扩展或自定义字段。后者被分组为逻辑类别,例如teleport.audit.session.*。
每个事件都分为四个 Elastic Common Schema 分类字段:event.kind、event.category、event.type 和 event.outcome。
示例
audit 的示例事件如下
{
"@timestamp": "2019-04-22T19:39:26.676Z",
"client": {
"address": "67.43.156.11",
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.11",
"port": 51454
},
"ecs": {
"version": "8.11.0"
},
"event": {
"action": "session.start",
"category": [
"session"
],
"code": "T2000I",
"id": "84c07a99-856c-419f-9de5-15560451a116",
"kind": "event",
"original": "{\"addr.local\":\"172.31.28.130:3022\",\"addr.remote\":\"67.43.156.11:51454\",\"code\":\"T2000I\",\"ei\":0,\"event\":\"session.start\",\"login\":\"root\",\"namespace\":\"default\",\"server_id\":\"de3800ea-69d9-4d72-a108-97e57f8eb393\",\"sid\":\"56408539-6536-11e9-80a1-427cfde50f5a\",\"size\":\"80:25\",\"time\":\"2019-04-22T19:39:26.676Z\",\"uid\":\"84c07a99-856c-419f-9de5-15560451a116\",\"user\":\"[email protected]\"}",
"sequence": 0,
"type": [
"start"
]
},
"group": {
"name": "default"
},
"host": {
"id": "de3800ea-69d9-4d72-a108-97e57f8eb393"
},
"process": {
"tty": {
"columns": 80,
"rows": 25
},
"user": {
"name": "root"
}
},
"related": {
"ip": [
"67.43.156.11",
"172.31.28.130"
],
"user": [
"[email protected]",
"root"
]
},
"server": {
"address": "172.31.28.130",
"ip": "172.31.28.130",
"port": 3022
},
"tags": [
"preserve_original_event"
],
"teleport": {
"audit": {
"session": {
"id": "56408539-6536-11e9-80a1-427cfde50f5a",
"terminal_size": "80:25"
}
}
},
"user": {
"name": "[email protected]"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集名称。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
http.request.headers |
标头是 HTTP 请求标头。 |
flattened |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.device_id |
包含该文件的文件系统所在设备的 ID。 |
keyword |
log.file.fingerprint |
启用指纹识别时,文件的 sha256 指纹标识。 |
keyword |
log.file.idxhi |
与文件关联的唯一标识符的高位部分。(仅限 Windows) |
keyword |
log.file.idxlo |
与文件关联的唯一标识符的低位部分。(仅限 Windows) |
keyword |
log.file.inode |
日志文件的 Inode 编号。 |
keyword |
log.file.vol |
包含文件的卷的序列号。(仅限 Windows) |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
process.cgroup.id |
CgroupID 是事件的内部 cgroupv2 ID。 |
long |
process.flags |
标志是传递给 open 的标志。 |
long |
teleport.audit.access_list.members.joined_on |
JoinedOn 是成员加入的日期。 |
日期 |
teleport.audit.access_list.members.member_name |
MemberName 是成员的名称。 |
keyword |
teleport.audit.access_list.members.removed_on |
RemovedOn 是删除访问列表成员的日期。仅在删除时填充。 |
日期 |
teleport.audit.access_list.membership_requirements_changed.roles |
角色是作为审核一部分而更改的角色。 |
keyword |
teleport.audit.access_list.membership_requirements_changed.traits |
特征是作为审核一部分而更改的特征。 |
flattened |
teleport.audit.access_list.name |
AccessListName 是正在添加或删除成员的访问列表的名称。 |
keyword |
teleport.audit.access_list.removed_members |
RemovedMembers 是作为审核一部分删除的成员。 |
keyword |
teleport.audit.access_list.review_day_of_month_changed |
如果审查月份日期已更改,则会填充 ReviewDayOfMonthChanged。 |
keyword |
teleport.audit.access_list.review_frequency_changed |
如果审查频率已更改,则会填充 ReviewFrequencyChanged。 |
keyword |
teleport.audit.access_list.review_id |
ReviewID 是审核的 ID。 |
keyword |
teleport.audit.access_list.review_message |
Message 是在审核期间提供的消息。 |
keyword |
teleport.audit.access_path_change.id |
ChangeID 是更改的 ID。 |
keyword |
teleport.audit.access_path_change.resource.name |
AffectedResourceName 是受影响资源的名称。 |
keyword |
teleport.audit.access_path_change.resource.source |
AffectedResourceSource 是受影响资源的来源,例如:Teleport、AWS、GitLab 等。 |
keyword |
teleport.audit.access_request.annotations |
Annotations 是插件在批准/拒绝请求期间提供的可选属性集。 |
flattened |
teleport.audit.access_request.assume_start_time |
AssumeStartTime 是可以假定请求角色的时间。 |
日期 |
teleport.audit.access_request.delegator |
Delegator 由 Teleport 插件用来指示导致其更新状态的身份。 |
keyword |
teleport.audit.access_request.id |
RequestID 是访问请求 ID |
keyword |
teleport.audit.access_request.max_duration |
MaxDuration 指示应授予访问权限的时间长度。 |
日期 |
teleport.audit.access_request.promoted_access_list_name |
PromotedAccessListName 是此请求升级到的访问列表的名称。 |
keyword |
teleport.audit.access_request.proposed_state |
ProposedState 是审核建议的状态。 |
keyword |
teleport.audit.access_request.resource_ids |
RequestedResourceIDs 是正在请求访问的一组资源。 |
flattened |
teleport.audit.access_request.resource_search.labels |
Labels 是用于搜索的基于标签的匹配器。 |
flattened |
teleport.audit.access_request.resource_search.predicate_expression |
PredicateExpression 是用于搜索的布尔条件列表。 |
keyword |
teleport.audit.access_request.resource_search.resource_type |
ResourceType 是正在搜索的资源类型。 |
keyword |
teleport.audit.access_request.resource_search.search_as_roles |
SearchAsRoles 是执行搜索时所用的角色列表。 |
keyword |
teleport.audit.access_request.resource_search.search_keywords |
SearchKeywords 是用于匹配资源字段值的搜索关键字列表。 |
keyword |
teleport.audit.access_request.reviewer |
Reviewer 是审核的作者。 |
keyword |
teleport.audit.access_request.roles |
Roles 是用户的角色列表。 |
keyword |
teleport.audit.access_request.state |
RequestState 是访问请求状态 |
keyword |
teleport.audit.app.aws.assumed_role |
AWSAssumedRole 是签署此请求的假定角色。 |
keyword |
teleport.audit.app.labels |
AppLabels 是配置的应用程序标签。 |
flattened |
teleport.audit.app.name |
AppName 是配置的应用程序名称。 |
keyword |
teleport.audit.app.public_address |
AppPublicAddr 是配置的应用程序公共地址。 |
keyword |
teleport.audit.app.session.chunk_id |
SessionChunkID 是为此 5 分钟应用程序日志块创建的会话的 ID。 |
keyword |
teleport.audit.app.uri |
AppURI 是应用程序端点。 |
keyword |
teleport.audit.audit_query.data_scanned_in_bytes |
DataScannedInBytes 是查询扫描的数据量。 |
long |
teleport.audit.audit_query.days |
Days 是查询的时间范围天数。 |
integer |
teleport.audit.audit_query.name |
Name 是查询的名称。 |
keyword |
teleport.audit.audit_query.query |
Query 是运行的查询。 |
keyword |
teleport.audit.audit_query.total_execution_time_in_millis |
ExecutionTimeInMillis 是查询的总执行时间。 |
long |
teleport.audit.certificate.identity.access_requests |
AccessRequests 是此身份的活动请求的 UUID 列表。 |
keyword |
teleport.audit.certificate.identity.allowed_resource_ids |
AllowedResourceIDs 是身份将被允许访问的资源列表。空列表表示不应用特定于资源的限制。 |
keyword |
teleport.audit.certificate.identity.aws_role_arns |
AWSRoleARNs 是用户可以承担的允许的 AWS 角色 ARN 列表。 |
keyword |
teleport.audit.certificate.identity.azure_identities |
AzureIdentities 是用户可以承担的允许的 Azure 身份列表。 |
keyword |
teleport.audit.certificate.identity.bot_name |
BotName 表示颁发此身份的 Machine ID 机器人的名称(如果有)。 |
keyword |
teleport.audit.certificate.identity.database_names |
DatabaseNames 是允许的数据库名称列表。 |
keyword |
teleport.audit.certificate.identity.database_users |
DatabaseUsers 是允许的数据库用户列表。 |
keyword |
teleport.audit.certificate.identity.device_extensions.asset_tag |
AssetTag 是设备库存标识符。 |
keyword |
teleport.audit.certificate.identity.device_extensions.credential_id |
CredentialID 是设备用来验证自身身份的凭据的标识符。 |
keyword |
teleport.audit.certificate.identity.device_extensions.device_id |
DeviceID 是受信任的设备标识符。 |
keyword |
teleport.audit.certificate.identity.disallow_reissue |
DisallowReissue 是一个标志,如果设置,则指示授权服务器拒绝在通过此证书进行身份验证时重新颁发新证书的任何尝试。 |
布尔值 |
teleport.audit.certificate.identity.expires |
Expires 指定会话何时过期 |
日期 |
teleport.audit.certificate.identity.gcp_service_accounts |
GCPServiceAccounts 是用户可以承担的允许的 GCP 服务帐户列表。 |
keyword |
teleport.audit.certificate.identity.impersonator |
Impersonator 是模拟此用户的用户的用户名 |
keyword |
teleport.audit.certificate.identity.kubernetes_cluster |
KubernetesCluster 指定 TLS 标识的目标 Kubernetes 集群。 |
keyword |
teleport.audit.certificate.identity.kubernetes_groups |
KubernetesGroups 是允许的 Kubernetes 组的列表 |
keyword |
teleport.audit.certificate.identity.kubernetes_users |
KubernetesUsers 是允许的 Kubernetes 用户的列表 |
keyword |
teleport.audit.certificate.identity.logins |
Logins 是允许的 Unix 登录名列表。 |
keyword |
teleport.audit.certificate.identity.prev_identity_expires |
PreviousIdentityExpires 是此身份/证书所派生的身份/证书的到期时间。 |
日期 |
teleport.audit.certificate.identity.private_key_policy |
PrivateKeyPolicy 是用户私钥的私钥策略。 |
keyword |
teleport.audit.certificate.identity.roles |
Roles 是编码在身份中的组(Teleport 角色)的列表 |
keyword |
teleport.audit.certificate.identity.route_to_app.aws_role_arn |
AWSRoleARN 是访问 AWS API 时要承担的 AWS 角色。 |
keyword |
teleport.audit.certificate.identity.route_to_app.azure_identity |
AzureIdentity 是访问 Azure API 时要承担的 Azure 身份。 |
keyword |
teleport.audit.certificate.identity.route_to_app.cluster_name |
ClusterName 是应用程序所在的集群。 |
keyword |
teleport.audit.certificate.identity.route_to_app.gcp_service_account |
GCPServiceAccount 是访问 GCP API 时要承担的 GCP 服务帐户。 |
keyword |
teleport.audit.certificate.identity.route_to_app.name |
Name 是正在请求证书的应用程序名称。 |
keyword |
teleport.audit.certificate.identity.route_to_app.public_addr |
PublicAddr 是应用程序公共地址。 |
keyword |
teleport.audit.certificate.identity.route_to_app.session_id |
SessionID 是应用程序会话的 ID。 |
keyword |
teleport.audit.certificate.identity.route_to_cluster |
RouteToCluster 指定会话中存在的目标集群 |
keyword |
teleport.audit.certificate.identity.route_to_database.database |
Database 是要嵌入的可选数据库名称。 |
keyword |
teleport.audit.certificate.identity.route_to_database.protocol |
Protocol 是证书适用的数据库类型。 |
keyword |
teleport.audit.certificate.identity.route_to_database.roles |
Roles 是要嵌入的可选数据库角色列表。 |
keyword |
teleport.audit.certificate.identity.route_to_database.service_name |
ServiceName 是证书适用的 Teleport 数据库代理服务名称。 |
keyword |
teleport.audit.certificate.identity.route_to_database.username |
Username 是要嵌入的可选数据库用户名。 |
keyword |
teleport.audit.certificate.identity.teleport_cluster |
TeleportCluster 是此身份来源的 Teleport 集群的名称。 |
keyword |
teleport.audit.certificate.identity.traits |
Traits 包含用于在运行时填充角色的声明数据。 |
flattened |
teleport.audit.certificate.identity.usage |
Usage 是编码在身份中的使用限制列表 |
keyword |
teleport.audit.certificate.identity.user |
User 是用户名或节点连接的名称 |
keyword |
teleport.audit.certificate.type |
CertificateType 是刚刚颁发的证书的类型。 |
keyword |
teleport.audit.database.affected_object_counts |
AffectedObjectCounts 计算每种类型有多少个不同的对象受到影响。 |
对象 |
teleport.audit.database.aws.redshift_cluster_id |
DatabaseAWSRedshiftClusterID 是 Redshift 数据库的集群 ID。 |
keyword |
teleport.audit.database.aws.ssm_run.command_id |
CommandID 是运行的 SSM 命令的 ID。 |
keyword |
teleport.audit.database.aws.ssm_run.invocation_url |
InvocationURL 是此调用的 AWS Web 控制台链接。调用是在实例中执行命令。 |
keyword |
teleport.audit.database.aws.ssm_run.stderr |
StandardError 包含执行的命令的 stderr。仅返回前 24000 个字符。 |
文本 |
teleport.audit.database.aws.ssm_run.stdout |
StandardOutput 包含执行的命令的 stdout。仅返回前 24000 个字符。 |
文本 |
teleport.audit.database.cassandra.batch_type |
BatchType 是批处理的类型。 |
keyword |
teleport.audit.database.cassandra.children |
Children 是批处理子语句。 |
flattened |
teleport.audit.database.cassandra.consistency |
Consistency 是要使用的一致性级别。 |
keyword |
teleport.audit.database.cassandra.event_types |
EventTypes 是要注册的事件类型列表。 |
keyword |
teleport.audit.database.cassandra.keyspace |
Keyspace 是语句所在的键空间。 |
keyword |
teleport.audit.database.cassandra.query_id |
QueryId 是要执行的预备查询 ID。 |
keyword |
teleport.audit.database.dynamodb.target |
Target 是 X-Amz-Target 标头中的 API 目标。 |
keyword |
teleport.audit.database.elasticsearch.category |
Category 表示给定请求中正在访问的 API 的类别。 |
keyword |
teleport.audit.database.elasticsearch.target |
Target 是一个可选字段,指示用作请求主题的目标索引或一组索引。 |
keyword |
teleport.audit.database.labels |
DatabaseLabels 是数据库资源标签。 |
flattened |
teleport.audit.database.mysql.data_size |
DataSize 是数据的大小。 |
integer |
teleport.audit.database.mysql.parameter_id |
ParameterID 是参数的标识符。 |
integer |
teleport.audit.database.mysql.process_id |
ProcessID 是连接的进程 ID。 |
long |
teleport.audit.database.mysql.rows_count |
RowsCount 是要获取的行数。 |
integer |
teleport.audit.database.mysql.schema_name |
SchemaName 是要使用/创建/删除的架构的名称。 |
keyword |
teleport.audit.database.mysql.statement_id |
StatementID 是预备语句的标识符。 |
long |
teleport.audit.database.mysql.subcommand |
Subcommand 是子命令的字符串表示形式。 |
keyword |
teleport.audit.database.name |
DatabaseName 是用户连接的数据库的名称。 |
keyword |
teleport.audit.database.opensearch.category |
Category 表示给定请求中正在访问的 API 的类别。 |
keyword |
teleport.audit.database.opensearch.target |
Target 是一个可选字段,指示用作请求主题的目标索引或一组索引。 |
keyword |
teleport.audit.database.origin |
DatabaseOrigin 是数据库源。 |
keyword |
teleport.audit.database.payload |
Payload 是格式错误的包负载。 |
二进制 |
teleport.audit.database.permission_summary |
PermissionSummary 是应用权限的摘要。 |
flattened |
teleport.audit.database.postgres.function_args |
FunctionArgs 包含格式化的函数参数。 |
keyword |
teleport.audit.database.postgres.function_oid |
FunctionOID 是调用函数的 Postgres 对象 ID。 |
keyword |
teleport.audit.database.postgres.portal_name |
PortalName 是将语句绑定到参数的目标门户名称。 |
keyword |
teleport.audit.database.postgres.statement_name |
StatementName 是预备语句名称。 |
keyword |
teleport.audit.database.proc_name |
Procname 是 RPC SQL Server 过程名称。 |
keyword |
teleport.audit.database.protocol |
DatabaseProtocol 是数据库类型,例如 postgres 或 mysql。 |
keyword |
teleport.audit.database.query |
DatabaseQuery 是执行的查询字符串。 |
keyword |
teleport.audit.database.query_parameters |
DatabaseQueryParameters 是预备语句的查询参数。 |
keyword |
teleport.audit.database.request_body |
Body 是请求 HTTP 正文(以 JSON 格式,与 http.request.body.contents 不同)。 |
flattened |
teleport.audit.database.roles |
DatabaseRoles 是自动配置的用户的数据库角色列表。 |
keyword |
teleport.audit.database.spanner.rpc.args |
Args 是 RPC 参数。 |
flattened |
teleport.audit.database.spanner.rpc.procedure |
Procedure 是远程过程的名称。 |
keyword |
teleport.audit.database.user |
DatabaseUser 是用于连接的数据库用户名。 |
keyword |
teleport.audit.database.user_change.is_deleted |
Delete 指示用户是完全删除还是仅禁用。 |
布尔值 |
teleport.audit.database.user_change.username |
Username 是为数据库用户选择的用户名。由于数据库限制(例如,用户名长度、允许的字符集),它可能与 Teleport 用户名不同。 |
keyword |
teleport.audit.desktop.allow_user_creation |
AllowUserCreation 指示是否允许为此会话自动创建本地用户。 |
布尔值 |
teleport.audit.desktop.delay_ms |
DelayMilliseconds 是自会话开始的延迟(以毫秒为单位)。 |
无符号长整型 |
teleport.audit.desktop.directory_id |
DirectoryID 是正在共享的目录的 ID(Windows 桌面会话独有)。 |
无符号长整型 |
teleport.audit.desktop.is_recorded |
Recorded 如果会话被记录则为 true,否则为 false。 |
布尔值 |
teleport.audit.desktop.labels |
DesktopLabels 是桌面资源上的标签。 |
flattened |
teleport.audit.desktop.name |
DesktopName 是桌面资源的名称。 |
keyword |
teleport.audit.desktop.offset |
Offset 是读取或写入字节的偏移量。 |
无符号长整型 |
teleport.audit.desktop.windows_desktop_service |
WindowsDesktopService 是代理 RDP 会话的服务的名称。 |
keyword |
teleport.audit.device.asset_tag |
设备库存标识符。 |
keyword |
teleport.audit.device.credential_id |
设备凭证标识符。 |
keyword |
teleport.audit.device.device_id |
设备的 ID。 |
keyword |
teleport.audit.device.origin |
设备来源。 |
keyword |
teleport.audit.device.os_type |
设备的操作系统。 |
keyword |
teleport.audit.device.web_authentication |
如果执行了 Web 身份验证(也称为代表设备身份验证),则为 True。 |
布尔值 |
teleport.audit.device.web_session_id |
与设备关联的 Web 会话 ID。 |
keyword |
teleport.audit.external_audit_storage.athena_results_uri |
AthenaResultsURI 是用于存储 Athena 生成的临时结果的 S3 路径。 |
keyword |
teleport.audit.external_audit_storage.athena_workgroup |
AthenaWorkgroup 是用于 Athena 审计日志查询的工作组。 |
keyword |
teleport.audit.external_audit_storage.audit_events_long_term_uri |
AuditEventsLongTermURI 是用于存储按事件日期分区的审计事件批量 parquet 文件的 S3 路径。 |
keyword |
teleport.audit.external_audit_storage.glue_database |
GlueDatabase 是用于 Athena 审计日志查询的数据库。 |
keyword |
teleport.audit.external_audit_storage.glue_table |
GlueTable 是用于 Athena 审计日志查询的表。 |
keyword |
teleport.audit.external_audit_storage.integration_name |
IntegrationName 是使用的 AWS OIDC 集成的名称。 |
keyword |
teleport.audit.external_audit_storage.policy_name |
PolicyName 是附加到 OIDC 集成角色的 IAM 策略的名称。 |
keyword |
teleport.audit.external_audit_storage.session_recordings_uri |
SessionsRecordingsURI 是用于存储会话记录的 S3 路径。 |
keyword |
teleport.audit.file_transfer_request.approvers |
Approvers 是一个切片,其中包含已批准该请求的 Teleport 用户 |
keyword |
teleport.audit.file_transfer_request.id |
RequestID 是 FileTransferRequest 的 ID |
keyword |
teleport.audit.file_transfer_request.is_download |
Download 如果请求的文件传输是下载则为 true,如果是上传则为 false |
布尔值 |
teleport.audit.file_transfer_request.requester |
Requester 是请求文件传输的 Teleport 用户 |
keyword |
teleport.audit.join.attributes |
Attributes 是从加入方法提供程序接收的属性映射。 |
flattened |
teleport.audit.join.bot_name |
BotName 是已加入的机器人的名称。 |
keyword |
teleport.audit.join.method |
Method 是指示使用哪种加入方法的事件字段。 |
keyword |
teleport.audit.join.role |
Role 是节点尝试加入时请求的角色。 |
keyword |
teleport.audit.join.token_expires |
TokenExpires 包含有关令牌过期时间的信息。 |
日期 |
teleport.audit.join.token_name |
TokenName 是用于加入的配置令牌的名称。 |
keyword |
teleport.audit.join.user_name |
UserName 是与已加入的机器人关联的用户的名称。 |
keyword |
teleport.audit.kubernetes.groups |
KubernetesGroups 是用户的 Kubernetes 组列表。 |
flattened |
teleport.audit.kubernetes.labels |
KubernetesLabels 是会话发生的 Kubernetes 集群的标签(静态和动态)。 |
flattened |
teleport.audit.kubernetes.pod.container_image |
KubernetesContainerImage 是 pod 中容器的映像。 |
flattened |
teleport.audit.kubernetes.pod.container_name |
KubernetesContainerName 是 pod 中容器的名称。 |
flattened |
teleport.audit.kubernetes.pod.node_name |
KubernetesNodeName 是运行 pod 的节点。 |
keyword |
teleport.audit.kubernetes.users |
KubernetesUsers 是用户的 Kubernetes 用户名列表。 |
flattened |
teleport.audit.lock.target |
Target 描述锁应用的交互集。 |
flattened |
teleport.audit.login.applied_rules |
AppliedLoginRules 存储登录期间应用的每个登录规则的名称。 |
keyword |
teleport.audit.login.challenge_allow_reuse |
ChallengeAllowReuse 定义 MFA 质询是否允许重用。 |
布尔值 |
teleport.audit.login.challenge_scope |
ChallengeScope 是此 MFA 质询的授权范围。 |
keyword |
teleport.audit.login.identity_attributes |
IdentityAttributes 是从身份提供程序接收的用户属性映射 |
flattened |
teleport.audit.login.method |
Method 是指示如何执行登录的事件字段 |
keyword |
teleport.audit.mfa_device.name |
名称是用户指定的多因素身份验证设备名称。 |
keyword |
teleport.audit.mfa_device.type |
类型是此多因素身份验证设备的类型。 |
keyword |
teleport.audit.mfa_device.uuid |
ID 是 Teleport 生成的多因素身份验证设备的 UUID。 |
keyword |
teleport.audit.network.action |
操作表示响应事件发生了什么。 |
keyword |
teleport.audit.network.operation |
操作表示执行了什么网络操作(例如,connect)。 |
keyword |
teleport.audit.okta.app_id |
AppId 是 Teleport 用作 Okta 网关的可选 Okta 应用程序 ID。 |
keyword |
teleport.audit.okta.assignment.ending_status |
EndingStatus 是分配的最终状态。 |
keyword |
teleport.audit.okta.assignment.source |
Source 是 Okta 分配的来源。 |
keyword |
teleport.audit.okta.assignment.starting_status |
StartingStatus 是分配的起始状态。 |
keyword |
teleport.audit.okta.assignment.user |
User 是 Okta 分配针对的用户。 |
keyword |
teleport.audit.okta.org_url |
OrgUrl 是正在同步到的 Okta 组织的 URL。 |
keyword |
teleport.audit.okta.resources.added |
Added 是添加的资源数量。 |
integer |
teleport.audit.okta.resources.deleted |
Deleted 是删除的资源数量。 |
integer |
teleport.audit.okta.resources.updated |
Updated 是更新的资源数量。 |
integer |
teleport.audit.okta.users.created |
NumUsersCreated 是在此同步过程中创建的 Teleport 用户数量。 |
integer |
teleport.audit.okta.users.deleted |
NumUsersDeleted 是在此同步过程中删除的 Teleport 用户数量。 |
integer |
teleport.audit.okta.users.modified |
NumUserModified 是在此同步过程中修改的 Teleport 用户数量。 |
integer |
teleport.audit.okta.users.total |
NumUsersTotal 是在同步过程结束时,由 Okta 集成管理的 Teleport 用户总数。 |
integer |
teleport.audit.resource.expires |
如果资源过期,则设置 Expires。 |
日期 |
teleport.audit.resource.ttl |
TTL 是重置密码令牌的 TTL,以持续时间表示,例如10m。 |
keyword |
teleport.audit.saml_idp_service_provider.attribute_mapping |
AttributeMapping 是属性名称和值的映射,将在 SAML 响应中声明。 |
flattened |
teleport.audit.saml_idp_service_provider.entity_id |
ServiceProviderEntityID 是服务提供商的实体 ID。 |
keyword |
teleport.audit.saml_idp_service_provider.shortcut |
ServiceProviderShortcut 是服务提供商的快捷方式名称。 |
keyword |
teleport.audit.scp.action |
Action 是上传或下载。 |
keyword |
teleport.audit.sec_report.name |
Name 是访问监控报告的名称。 |
keyword |
teleport.audit.sec_report.total_data_scanned_in_bytes |
TotalDataScannedInBytes 是查询扫描的数据量。 |
long |
teleport.audit.sec_report.total_execution_time_in_millis |
TotalExecutionTimeInMillis 是查询的总执行时间。 |
long |
teleport.audit.sec_report.version |
Version 是安全报告的版本。 |
keyword |
teleport.audit.server.forwarded_by |
ForwardedBy 告诉我们元数据是由节点本身发送的,还是由另一个节点代替发送的。 |
keyword |
teleport.audit.server.labels |
ServerLabels 是会话发生所在的服务器的标签(静态和动态)。 |
flattened |
teleport.audit.server.sub_kind |
ServerSubKind 是会话发生所在的服务器的子类型。 |
keyword |
teleport.audit.server.version |
ServerVersion 是会话发生所在的组件版本。 |
keyword |
teleport.audit.session.enhanced_recording |
EnhancedRecording 用于指示录制是否为增强录制。 |
布尔值 |
teleport.audit.session.id |
SessionID 是会话的唯一 UUID。 |
keyword |
teleport.audit.session.interactive |
Interactive 用于指示会话是否为交互式会话(已附加 PTY)或非交互式会话(执行会话)。 |
布尔值 |
teleport.audit.session.participants |
Participants 是会话中的参与者列表。 |
keyword |
teleport.audit.session.private_key_policy |
PrivateKeyPolicy 是用于启动此会话的私钥的私钥策略。 |
keyword |
teleport.audit.session.session_recording |
SessionRecording 是会话录制的类型。 |
keyword |
teleport.audit.session.terminal_size |
TerminalSize 表示为 W:H。 |
keyword |
teleport.audit.sftp.action |
Action 是什么类型的文件操作。 |
keyword |
teleport.audit.sftp.attributes |
Attributes 是用户请求更改的文件元数据。 |
对象 |
teleport.audit.sftp.target_path |
TargetPath 是文件重命名中的新路径,或创建符号链接时的符号链接路径。 |
keyword |
teleport.audit.svid.dns_sans |
DNSSANs 是颁发的 SVID 中的 DNS SAN 列表。 |
keyword |
teleport.audit.svid.hint |
Hint 是颁发的 SVID 的提示。 |
keyword |
teleport.audit.svid.ip_sans |
IPSANs 是颁发的 SVID 中的 IP SAN 列表。 |
keyword |
teleport.audit.svid.serial_number |
SerialNumber 是颁发的 SVID 的序列号。 |
keyword |
teleport.audit.svid.spiffe_id |
SPIFFEID 是颁发的 SVID 的 SPIFFE ID。 |
keyword |
teleport.audit.svid.type |
SVIDType 是 |
keyword |
teleport.audit.unknown.code |
UnknownCode 是从未知事件中提取的事件代码。 |
keyword |
teleport.audit.unknown.data |
Data 是未知事件的序列化 JSON 数据。 |
flattened |
teleport.audit.unknown.event_type |
UnknownType 是从未知事件中提取的事件类型。 |
keyword |
teleport.audit.unknown.metadata |
Metadata 是一个常见的事件元数据。 |
对象 |
teleport.audit.upgradewindow.start |
UpgradeWindowStart 是升级窗口时间。 |
keyword |
teleport.audit.user.access_requests |
AccessRequests 是用户创建的访问请求的 ID。 |
keyword |
teleport.audit.user.aws_role_arn |
AWSRoleARN 是用户在访问 AWS 控制台时承担的 AWS IAM 角色。 |
keyword |
teleport.audit.user.azure_identity |
AzureIdentity 是用户在访问 Azure API 时承担的 Azure 身份。 |
keyword |
teleport.audit.user.connector |
Connector 是用于创建用户的连接器。 |
keyword |
teleport.audit.user.gcp_service_account |
GCPServiceAccount 是 GCP 服务帐户用户。 |
keyword |
teleport.audit.user.impersonator |
Impersonator 是代表另一个用户执行操作的用户。 |
keyword |
teleport.audit.user.kind |
UserKind 指示用户类型,例如,人类用户或机器 ID 机器人用户。 |
keyword |
teleport.audit.user.required_private_key_policy |
RequiredPrivateKeyPolicy 是为此登录强制执行的私钥策略。 |
keyword |
teleport.audit.user.trusted_device |
TrustedDevice 包含有关用户受信任设备的信息。 需要在身份验证期间使用已注册和注册的设备。 |
flattened |