- Elastic 集成
- 集成快速参考
- 1Password
- Abnormal Security
- ActiveMQ
- Active Directory 实体分析
- Airflow
- Akamai
- Apache
- API(自定义)
- Arbor Peakflow SP 日志
- Arista NG 防火墙
- Atlassian
- Auditd
- Auth0
- authentik
- AWS
- Amazon CloudFront
- Amazon DynamoDB
- Amazon EBS
- Amazon EC2
- Amazon ECS
- Amazon EMR
- AWS API 网关
- Amazon GuardDuty
- AWS Health
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Stream
- Amazon Managed Streaming for Apache Kafka (MSK)
- Amazon NAT 网关
- Amazon RDS
- Amazon Redshift
- Amazon S3
- Amazon S3 Storage Lens
- Amazon Security Lake
- Amazon SNS
- Amazon SQS
- Amazon VPC
- Amazon VPN
- AWS Bedrock
- AWS 账单
- AWS CloudTrail
- AWS CloudWatch
- AWS ELB
- AWS Fargate
- AWS Inspector
- AWS Lambda
- AWS 日志(自定义)
- AWS 网络防火墙
- AWS Route 53
- AWS Security Hub
- AWS Transit Gateway
- AWS 使用情况
- AWS WAF
- Azure
- Barracuda
- BitDefender
- Bitwarden
- blacklens.io
- Blue Coat Director 日志
- BBOT (Bighuge BLS OSINT 工具)
- Box 事件
- Bravura Monitor
- Broadcom ProxySG
- Canva
- Cassandra
- CEL 自定义 API
- Ceph
- Check Point
- Cilium Tetragon
- CISA 已知被利用的漏洞
- Cisco
- Cisco Meraki 指标
- Citrix
- Claroty CTD
- Cloudflare
- 云资产清单
- CockroachDB 指标
- 通用事件格式 (CEF)
- Containerd
- CoreDNS
- Corelight
- Couchbase
- CouchDB
- Cribl
- CrowdStrike
- Cyberark
- Cybereason
- CylanceProtect 日志
- 自定义 Websocket 日志
- Darktrace
- 数据泄露检测
- DGA
- Digital Guardian
- Docker
- Elastic APM
- Elastic Fleet Server
- Elastic Security
- Elastic Stack 监控
- ESET PROTECT
- ESET 威胁情报
- etcd
- Falco
- F5
- 文件完整性监控
- FireEye 网络安全
- First EPSS
- Forcepoint Web Security
- ForgeRock
- Fortinet
- Gigamon
- GitHub
- GitLab
- Golang
- Google Cloud
- GoFlow2 日志
- Hadoop
- HAProxy
- Hashicorp Vault
- HTTP 端点日志(自定义)
- IBM MQ
- IIS
- Imperva
- InfluxDb
- Infoblox
- Iptables
- Istio
- Jamf Compliance Reporter
- Jamf Pro
- Jamf Protect
- Jolokia 输入
- Journald 日志(自定义)
- JumpCloud
- Kafka
- Keycloak
- Kubernetes
- LastPass
- 横向移动检测
- Linux 指标
- 利用现有工具进行攻击检测
- 日志(自定义)
- Lumos
- Lyve Cloud
- Mattermost
- Memcached
- Menlo Security
- Microsoft
- Mimecast
- ModSecurity 审核
- MongoDB
- MongoDB Atlas
- MySQL
- Nagios XI
- NATS
- NetFlow 记录
- Netskope
- 网络信标识别
- 网络数据包捕获
- Nginx
- Okta
- Oracle
- OpenCanary
- Osquery
- Palo Alto
- pfSense
- PHP-FPM
- PingOne
- Pleasant Password Server
- PostgreSQL
- Prometheus
- Proofpoint TAP
- Proofpoint On Demand
- Pulse Connect Secure
- Qualys VMDR
- QNAP NAS
- RabbitMQ 日志
- Radware DefensePro 日志
- Rapid7
- Redis
- Salesforce
- SentinelOne
- ServiceNow
- Slack 日志
- Snort
- Snyk
- SonicWall 防火墙
- Sophos
- Spring Boot
- SpyCloud Enterprise Protection
- SQL 输入
- Squid 日志
- SRX
- STAN
- Statsd 输入
- Sublime Security
- Suricata
- StormShield SNS
- Symantec
- Symantec Endpoint Security
- Linux 版 Sysmon
- Sysdig
- 系统
- 系统审核
- Tanium
- TCP 日志(自定义)
- Teleport
- Tenable
- 威胁情报
- ThreatConnect
- 威胁地图
- Thycotic Secret Server
- Tines
- Traefik
- Trellix
- Trend Micro
- TYCHON 无代理
- UDP 日志(自定义)
- 通用分析
- Vectra Detect
- VMware
- WatchGuard Firebox
- WebSphere 应用程序服务器
- Windows
- Wiz
- Zeek
- ZeroFox
- Zero Networks
- ZooKeeper 指标
- Zoom
- Zscaler
ZooKeeper 集成
编辑ZooKeeper 集成
编辑此集成定期从 ZooKeeper 服务中获取指标。
兼容性
编辑ZooKeeper 集成已使用 ZooKeeper 3.4.8 进行测试,预计适用于所有版本 >= 3.4.0。3.4 之前的版本不支持 mntr 命令。
指标
编辑connection
编辑connection 数据集获取 cons 管理关键字返回的数据。
示例
connection 的示例事件如下所示
{ "@timestamp": "2020-07-06T16:12:07.612Z", "agent": { "ephemeral_id": "4d221f8f-7147-4855-8ea3-b4d2a5b80ae0", "id": "2ff8a09c-c7f0-42f2-9fe1-65f7fd460651", "name": "zookeeper-01", "type": "metricbeat", "version": "8.0.0" }, "client": { "ip": "172.28.0.1", "port": 44338 }, "ecs": { "version": "8.11.0" }, "event": { "dataset": "zookeeper.connection", "duration": 3093417, "module": "zookeeper" }, "host": { "name": "zookeeper-01" }, "metricset": { "name": "connection", "period": 10000 }, "service": { "address": "localhost:2181", "type": "zookeeper" }, "zookeeper": { "connection": { "interest_ops": 0, "queued": 0, "received": 1, "sent": 0 } } }
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
date |
|
agent.id |
keyword |
||
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
|
client.port |
客户端的端口。 |
long |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
|
cloud.availability_zone |
此主机运行所在的可用区。 |
keyword |
|
cloud.image.id |
云实例的映像 ID。 |
keyword |
|
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
|
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
|
cloud.region |
此主机运行所在的区域。 |
keyword |
|
container.id |
唯一的容器 ID。 |
keyword |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
|
host.os.build |
操作系统构建信息。 |
keyword |
|
host.os.codename |
操作系统代号(如果有)。 |
keyword |
|
service.address |
从中收集有关此服务的数据的地址。这应该是 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。 |
keyword |
|
zookeeper.connection.interest_ops |
感兴趣的操作 |
long |
|
zookeeper.connection.queued |
排队连接 |
long |
gauge |
zookeeper.connection.received |
接收的连接 |
long |
counter |
zookeeper.connection.sent |
发送的连接 |
long |
counter |
mntr
编辑mntr 指标集获取 mntr 管理关键字返回的数据。
示例
mntr 的示例事件如下所示
{ "@timestamp": "2020-07-06T16:12:08.494Z", "agent": { "ephemeral_id": "4d221f8f-7147-4855-8ea3-b4d2a5b80ae0", "id": "2ff8a09c-c7f0-42f2-9fe1-65f7fd460651", "name": "zookeeper-01", "type": "metricbeat", "version": "8.0.0" }, "ecs": { "version": "8.11.0" }, "event": { "dataset": "zookeeper.mntr", "duration": 15795652, "module": "zookeeper" }, "host": { "name": "zookeeper-01" }, "metricset": { "name": "mntr", "period": 10000 }, "service": { "address": "localhost:2181", "type": "zookeeper", "version": "3.5.5-390fe37ea45dee01bf87dc1c042b5e3dcce88653, built on 05/03/2019 12:07 GMT" }, "zookeeper": { "mntr": { "approximate_data_size": 44, "ephemerals_count": 0, "latency": { "avg": 0, "max": 0, "min": 0 }, "max_file_descriptor_count": 1048576, "num_alive_connections": 1, "open_file_descriptor_count": 49, "outstanding_requests": 0, "packets": { "received": 152, "sent": 151 }, "server_state": "standalone", "watch_count": 0, "znode_count": 5 } } }
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
date |
|
agent.id |
keyword |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
|
cloud.availability_zone |
此主机运行所在的可用区。 |
keyword |
|
cloud.image.id |
云实例的映像 ID。 |
keyword |
|
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
|
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
|
cloud.region |
此主机运行所在的区域。 |
keyword |
|
container.id |
唯一的容器 ID。 |
keyword |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
|
host.os.build |
操作系统构建信息。 |
keyword |
|
host.os.codename |
操作系统代号(如果有)。 |
keyword |
|
service.address |
从中收集有关此服务的数据的地址。这应该是 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。 |
keyword |
|
zookeeper.mntr.approximate_data_size |
ZooKeeper 数据的大概大小。 |
long |
gauge |
zookeeper.mntr.ephemerals_count |
临时 znode 的数量。 |
long |
gauge |
zookeeper.mntr.followers |
当前主机看到的跟随者数量。 |
long |
gauge |
zookeeper.mntr.latency.avg |
集群主机之间的平均延迟(以毫秒为单位)。 |
long |
gauge |
zookeeper.mntr.latency.max |
最大延迟(以毫秒为单位)。 |
long |
gauge |
zookeeper.mntr.latency.min |
最小延迟(以毫秒为单位)。 |
long |
gauge |
zookeeper.mntr.max_file_descriptor_count |
ZooKeeper 进程允许的最大文件描述符数。 |
long |
gauge |
zookeeper.mntr.num_alive_connections |
当前处于活动状态的与 ZooKeeper 的连接数。 |
long |
gauge |
zookeeper.mntr.open_file_descriptor_count |
ZooKeeper 进程打开的文件描述符数。 |
long |
gauge |
zookeeper.mntr.outstanding_requests |
集群需要处理的未完成请求数。 |
long |
gauge |
zookeeper.mntr.packets.received |
接收到的 ZooKeeper 网络数据包数。 |
long |
gauge |
zookeeper.mntr.packets.sent |
发送的 ZooKeeper 网络数据包数。 |
long |
gauge |
zookeeper.mntr.pending_syncs |
要执行到 ZooKeeper 集群跟随者的挂起同步数。 |
long |
gauge |
zookeeper.mntr.server_state |
在 ZooKeeper 集群中的角色。 |
keyword |
|
zookeeper.mntr.synced_followers |
当节点 server_state 为 leader 时报告的同步跟随者数量。 |
long |
gauge |
zookeeper.mntr.watch_count |
当前在本地 ZooKeeper 进程上设置的监视数。 |
long |
gauge |
zookeeper.mntr.znode_count |
本地 ZooKeeper 进程报告的 znode 数。 |
long |
gauge |
server
编辑server 指标集获取 srvr 管理关键字返回的数据。
示例
server 的示例事件如下所示
{ "@timestamp": "2020-07-06T16:12:12.409Z", "agent": { "ephemeral_id": "4d221f8f-7147-4855-8ea3-b4d2a5b80ae0", "id": "2ff8a09c-c7f0-42f2-9fe1-65f7fd460651", "name": "zookeeper-01", "type": "metricbeat", "version": "8.0.0" }, "ecs": { "version": "8.11.0" }, "event": { "dataset": "zookeeper.server", "duration": 3001938, "module": "zookeeper" }, "host": { "name": "zookeeper-01" }, "metricset": { "name": "server", "period": 10000 }, "service": { "address": "localhost:2181", "type": "zookeeper", "version": "3.5.5-390fe37ea45dee01bf87dc1c042b5e3dcce88653" }, "zookeeper": { "server": { "connections": 1, "count": 0, "epoch": 0, "latency": { "avg": 0, "max": 0, "min": 0 }, "mode": "standalone", "node_count": 5, "outstanding": 0, "received": 156, "sent": 155, "version_date": "2019-05-03T12:07:00Z", "zxid": "0x0" } } }
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
date |
|
agent.id |
keyword |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
|
cloud.availability_zone |
此主机运行所在的可用区。 |
keyword |
|
cloud.image.id |
云实例的映像 ID。 |
keyword |
|
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
|
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
|
cloud.region |
此主机运行所在的区域。 |
keyword |
|
container.id |
唯一的容器 ID。 |
keyword |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
|
host.os.build |
操作系统构建信息。 |
keyword |
|
host.os.codename |
操作系统代号(如果有)。 |
keyword |
|
service.address |
从中收集有关此服务的数据的地址。这应该是 URI、网络地址(ipv4:port 或 [ipv6]:port)或资源路径(套接字)。 |
keyword |
|
zookeeper.server.connections |
当前连接到服务器的客户端数量 |
long |
gauge |
zookeeper.server.count |
leader 在 epoch 中的总事务数 |
long |
counter |
zookeeper.server.epoch |
Zookeeper 事务 ID 的 epoch 值。epoch 表示服务器作为 leader 的时间段 |
long |
|
zookeeper.server.latency.avg |
服务器响应客户端请求所需的平均时间量 |
long |
gauge |
zookeeper.server.latency.max |
服务器响应客户端请求所需的最大时间量 |
long |
gauge |
zookeeper.server.latency.min |
服务器响应客户端请求所需的最小时间量 |
long |
gauge |
zookeeper.server.mode |
服务器的模式。在集群中,这可以是 leader 或 follower。否则,它为 standalone |
keyword |
|
zookeeper.server.node_count |
节点总数 |
long |
gauge |
zookeeper.server.outstanding |
在服务器上排队的请求数。当服务器收到的请求多于其能够处理的请求时,此值大于零 |
long |
gauge |
zookeeper.server.received |
服务器收到的请求数 |
long |
counter |
zookeeper.server.sent |
服务器发送的请求数 |
long |
counter |
zookeeper.server.version_date |
当前正在使用的 Zookeeper 版本的日期 |
date |
|
zookeeper.server.zxid |
Zookeeper 事务 ID 的唯一值。zxid 由一个 epoch 和一个计数器组成。它由 leader 建立,用于确定更改的时间顺序 |
keyword |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.13.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.8.5 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.8.4 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.8.3 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.8.2 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.8.1 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.5.1 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.3.1 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.1 |
Bug 修复 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.7 |
增强 (查看拉取请求) |
— |
0.2.6 |
Bug 修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |