Zscaler ZIA
编辑Zscaler ZIA
编辑此集成用于 Zscaler Internet Access 日志 ZIA。它可以用于接收 NSS 日志服务器在各自 TCP 端口上发送的日志,以及使用 API 发送的沙箱报告。
日志消息应为 JSON 格式。数据将映射到 ECS 字段(如果适用),其余字段将写入 zscaler_zia.<data-stream-name>.* 下。
要求
编辑必须安装 Elastic Agent。有关更多信息,请参考 此处 的链接。
安装和管理 Elastic Agent
编辑您有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。我们建议使用 Fleet 管理,因为它使您的代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent 并在安装它的系统上手动配置代理。您负责管理和升级代理。此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论使用 Fleet Server 还是独立模式。所有版本的 Elastic Agent 的 Docker 镜像都可从 Elastic Docker 注册表中获取,我们还提供了在 Kubernetes 上运行的部署清单。
运行 Elastic Agent 有一些最低要求,有关更多信息,请参考 此处 的链接。
此模块已针对 Zscaler Internet Access 版本 6.1 和 API 版本 v1 进行了测试。
要从 Zscaler ZIA 沙箱报告 API 收集数据,请按照以下步骤操作
编辑- 转到 Zscaler ZIA 门户,输入电子邮件地址和密码登录。
- 为 Okta 或 Microsoft Entra ID 配置 OAuth 2.0,以生成 OAuth2.0 凭据。
- 添加 OAuth2.0 授权服务器。
设置 NSS 源的步骤
编辑- 启用与 TCP 输入的集成。
-
配置 Zscaler NSS 服务器和 NSS 源,以将日志发送到运行此集成的 Elastic Agent。请参阅 添加 NSS 服务器 和 添加 NSS 源。使用 Elastic Agent 的 IP 地址主机名作为NSS 源 SIEM IP 地址/FQDN,并使用 Elastic Agent 的监听端口作为添加 NSS 源配置屏幕上的SIEM TCP 端口。要配置 Zscaler NSS 服务器和 NSS 源,请按照以下步骤操作。
-
在 ZIA 管理门户中,添加 NSS 服务器。
- 使用您的管理员帐户登录 ZIA 管理门户。如果您无法登录,请联系支持。
- 添加 NSS 服务器。请参阅添加 NSS 服务器以设置 Web 和/或防火墙的 添加 NSS 服务器。
-
验证 NSS 服务器的状态是否正常。
- 在 ZIA 管理门户中,转到管理 > Nanolog 流服务 > NSS 服务器。
- 在“状态”列中,确认 NSS 服务器的状态是否正常。image::images/zscaler_zia/nss_server.png[NSS 服务器设置图像]
-
在 ZIA 管理门户中,添加 NSS 源。
-
请参阅 添加 NSS 源 并选择要配置的源类型。以下字段需要特定的输入
- SIEM IP 地址:输入您将 Zscaler 集成分配到的 Elastic agent 的 IP 地址。
- SIEM TCP 端口:输入端口号,具体取决于与 NSS 源关联的日志。您需要为每种日志类型创建一个 NSS 源。
- 警报: 9010
- 审核: 9029
- DNS: 9011
- 端点 DLP: 9023
- 防火墙: 9012
- 隧道: 9013
- Web: 9014
- 源输出类型:在“源输出类型”中选择“自定义”,并将适当的响应格式粘贴到“源输出格式”中,如下所示:image::images/zscaler_zia/nss_feeds.png[NSS 源设置图像]
-
-
设置云 NSS 源的步骤
编辑- 启用与 HTTP 端点输入的集成。
-
配置 Zscaler 云 NSS 源,以将日志发送到运行此集成的 Elastic Agent。提供 API URL 以将日志发送到 Elastic Agent。要配置 Zscaler 云 NSS 源,请按照以下步骤操作。
-
在 ZIA 管理门户中,添加云 NSS 源。
- 使用您的管理员帐户登录 ZIA 管理门户。
-
添加云 NSS 源。请参阅 添加云 NSS 源。
- 在 ZIA 管理门户中,转到管理 > Nanolog 流服务 > 云 NSS 源。
- 提供源名称,将状态更改为“已启用”。
- 选择 NSS 类型。
- 将 SIEM 类型更改为“其他”。
- 添加 API URL。
- 默认端口
- 审核: 9562
- DNS: 9556
- 端点 DLP: 9561
- 防火墙: 9557
- 隧道: 9558
- Web: 9559
- 选择 JSON 作为源输出类型。
- 在两侧添加相同的自定义标头及其值,以提高安全性。image::images/zscaler_zia/cloud_nss_feeds.png[云 NSS 源设置图像]
-
- 对每种日志类型重复步骤 2。
请确保为 NSS 和云 NSS 源使用给定的响应格式。
请确保使用给定响应格式的最新版本。
文档和配置
编辑警报
编辑- 默认端口(NSS 源):9010
请参阅:Zscaler 供应商文档
Zscaler 警报响应格式 (v1)
<%d{syslogid}>%s{Monthname} %2d{Dayofmonth} %02d{Hour}:%02d{Minutes}:%02d{Seconds} [%s{Deviceip}] ZscalerNSS: %s{Eventinfo}\n
示例响应
<114>Dec 10 14:04:28 [175.16.199.1] ZscalerNSS: Zscaler cloud configuration connection to 175.16.199.1:443 lost and unavailable for the past 2325.00 minutes
审核日志
编辑- 默认端口(NSS 源):9029
- 默认端口(云 NSS 源):9562
请参阅:Zscaler 供应商文档
Zscaler 审核日志响应格式 (v1)
\{"sourcetype":"zscalernss-audit","event":\{"time":"%s{time}","recordid":"%d{recordid}","action":"%s{action}","category":"%s{category}","subcategory":"%s{subcategory}","resource":"%s{resource}","interface":"%s{interface}","adminid":"%s{adminid}","clientip":"%s{clientip}","result":"%s{result}","errorcode":"%s{errorcode}","auditlogtype":"%s{auditlogtype}","preaction":%s{preaction},"postaction":%s{postaction}\}\}
示例响应
{"sourcetype":"zscalernss-audit","event":{"time":"Mon Oct 16 22:55:48 2023","recordid":"1234","action":"Activate","category":"DATA_LOSS_PREVENTION_RESOURCE","subcategory":"DLP_DICTIONARY","resource":"SSL Rule Name","interface":"API","adminid":"[email protected]","clientip":"89.160.20.112","result":"SUCCESS","errorcode":"AUTHENTICATION_FAILED","auditlogtype":"ZIA Portal Audit Log","timezone":"UTC","preaction":{},"postaction":{}}}
DNS 日志
编辑- 默认端口(NSS 源):9011
- 默认端口(云 NSS 源):9556
请参阅:Zscaler 供应商文档
Zscaler DNS 日志响应格式 (v2)
\{"sourcetype":"zscalernss-dns","event":\{"user":"%s{elogin}","department":"%s{edepartment}","location":"%s{elocation}","clt_sip":"%s{cip}","cloudname":"%s{cloudname}","company":"%s{company}","datacenter":"%s{datacenter}","datacentercity":"%s{datacentercity}","datacentercountry":"%s{datacentercountry}","day_of_month":"%02d{dd}","dept":"%s{dept}","deviceappversion":"%s{deviceappversion}","devicehostname":"%s{devicehostname}","devicemodel":"%s{devicemodel}","devicename":"%s{devicename}","deviceostype":"%s{deviceostype}","deviceosversion":"%s{deviceosversion}","deviceowner":"%s{deviceowner}","devicetype":"%s{devicetype}","dnsapp":"%s{dnsapp}","dnsappcat":"%s{dnsappcat}","dns_gateway_status":"%s{dnsgw_flags}","dns_gateway_rule":"%s{dnsgw_slot}","dns_gateway_server_protocol":"%s{dnsgw_srv_proto}","category":"%s{domcat}","durationms":"%d{durationms}","ecs_prefix":"%s{ecs_prefix}","ecs_slot":"%s{ecs_slot}","epochtime":"%d{epochtime}","error":"%s{error}","hour":"%02d{hh}","http_code":"%s{http_code}","istcp":"%d{istcp}","loc":"%s{location}","login":"%s{login}","minutes":"%02d{mm}","month":"%s{mon}","month_of_year":"%02d{mth}","odevicehostname":"%s{odevicehostname}","odevicename":"%s{odevicename}","odeviceowner":"%s{odeviceowner}","odomcat":"%s{odomcat}","protocol":"%s{protocol}","recordid":"%d{recordid}","dns_req":"%s{req}","reqaction":"%s{reqaction}","reqrulelabel":"%s{reqrulelabel}","dns_reqtype":"%s{reqtype}","dns_resp":"%s{res}","resaction":"%s{resaction}","respipcategory":"%s{respipcat}","resrulelabel":"%s{resrulelabel}","restype":"%s{restype}","srv_dip":"%s{sip}","srv_dport":"%d{sport}","second":"%02d{ss}","datetime":"%s{time}","tz":"%s{tz}","year":"%04d{yyyy}"\}\}
示例响应
{"sourcetype":"zscalernss-dns","event":{"cloudname":"zscaler.net","datetime":"Mon Oct 16 22:55:48 2023","devicemodel":"VMware7,1","restype":"IPv4","dns_req":"mail.safemarch.com","dns_reqtype":"A record","error":"EMPTY_RESP","durationms":"1000","recordid":"45648954","tz":"GMT","devicename":"admin","devicehostname":"THINKPADSMITH","deviceostype":"Windows OS","deviceosversion":"Microsoft Windows 10 Enterprise;64 bit","devicetype":"Zscaler Client Connector","http_code":"100","dnsapp":"Google DNS","dns_gateway_server_protocol":"TCP","protocol":"TCP","company":"Zscaler","reqrulelabel":"RULE_1","resrulelabel":"RULE_RES","clt_sip":"81.2.69.192","srv_dip":"175.16.199.0","srv_dport":"1025","user":"[email protected]","datacentercity":"Sa","datacentercountry":"US","datacenter":"CA Client Node DC","day":"Mon","day_of_month":"16","department":"EDept","dept":"Sales","deviceappversion":"4.3.0.18","deviceowner":"jsmith","dnsappcat":"Network Service","dns_gateway_rule":"DNS GATEWAY Rule 1","dns_gateway_status":"PRIMARY_SERVER_RESPONSE_PASS","category":"Professional Services","ecs_prefix":"192.168.0.0","ecs_slot":"ECS Slot #17","eedone":"Yes","epochtime":"1578128400","hour":"22","istcp":"1","loc":"Headquarters","location":"ELocation","login":"[email protected]","minutes":"55","month":"Oct","month_of_year":"10","oclientsourceip":"9960223283","odevicename":"2175092224","odeviceowner":"10831489","odomcat":"4951704103","odevicehostname":"2168890624","reqaction":"REQ_ALLOW","dns_resp":"www.example.com","respipcategory":"Adult Themes","resaction":"RES_Action","respipcat":"Adult Themes","second":"48","year":"2023"}}
端点 DLP 日志
编辑- 默认端口(NSS 源):9023
- 默认端口(云 NSS 源):9561
请参阅:Zscaler 供应商文档
Zscaler 端点 DLP 日志响应格式 (v1)
\{"sourcetype":"zscalernss-edlp","event":\{"actiontaken":"%s{actiontaken}","activitytype":"%s{activitytype}","additionalinfo":"%s{addinfo}","channel":"%s{channel}","confirmaction":"%s{confirmaction}","confirmjustification":"%s{confirmjust}","datacenter":"%s{datacenter}","datacentercity":"%s{datacentercity}","datacentercountry":"%s{datacentercountry}","day":"%s{day}","dd":"%02d{dd}","department":"%s{department}","deviceappversion":"%s{deviceappversion}","devicehostname":"%s{devicehostname}","devicemodel":"%s{devicemodel}","devicename":"%s{devicename}","deviceostype":"%s{deviceostype}","deviceosversion":"%s{deviceosversion}","deviceowner":"%s{deviceowner}","deviceplatform":"%s{deviceplatform}","devicetype":"%s{devicetype}","dlpdictcount":"%s{dlpcounts}","dlpdictnames":"%s{dlpdictnames}","dlpenginenames":"%s{dlpengnames}","dlpidentifier":"%llu{dlpidentifier}","dsttype":"%s{dsttype}","eventtime":"%s{eventtime}","expectedaction":"%s{expectedaction}","filedoctype":"%s{filedoctype}","filedstpath":"%s{filedstpath}","filemd5":"%s{filemd5}","filesha":"%s{filesha}","filesrcpath":"%s{filesrcpath}","filetypecategory":"%s{filetypecategory}","filetypename":"%s{filetypename}","hh":"%02d{hh}","itemdstname":"%s{itemdstname}","itemname":"%s{itemname}","itemsrcname":"%s{itemsrcname}","itemtype":"%s{itemtype}","logtype":"%s{logtype}","mm":"%02d{mm}","mon":"%s{mon}","mth":"%02d{mth}","numdlpdictids":"%u{numdlpdictids}","numdlpengineids":"%u{numdlpengids}","odepartment":"%s{odepartment}","odevicehostname":"%s{odevicehostname}","odevicename":"%s{odevicename}","odeviceowner":"%s{odeviceowner}","odlpdictnames":"%s{odlpdictnames}","odlpenginenames":"%s{odlpengnames}","ofiledstpath":"%s{ofiledstpath}","ofilesrcpath":"%s{ofilesrcpath}","oitemdstname":"%s{oitemdstname}","oitemname":"%s{oitemname}","oitemsrcname":"%s{oitemsrcname}","ootherrulelabels":"%s{ootherrulelabels}","otherrulelabels":"%s{otherrulelabels}","orulename":"%s{otriggeredrulelabel}","ouser":"%s{ouser}","recordid":"%llu{recordid}","feedtime":"%s{rtime}","scannedbytes":"%llu{scanned_bytes}","scantime":"%llu{scantime}","severity":"%s{severity}","srctype":"%s{srctype}","ss":"%02d{ss}","datetime":"%s{time}","rulename":"%s{triggeredrulelabel}","timezone":"%s{tz}","user":"%s{user}","yyyy":"%04d{yyyy}","zdpmode":"%s{zdpmode}"\}\}
示例响应
{ "sourcetype": "zscalernss-edlp", "event": { "actiontaken": "allow", "activitytype": "email_sent", "additionalinfo": "File already open by another application", "channel": "Network Drive Transfer", "confirmaction": "confirm", "confirmjustification": "My manager approved it", "datacenter": "Georgia", "datacentercity": "Atlanta", "datacentercountry": "US", "day": "Mon", "dd": "16", "department": "TempDept", "deviceappversion": "Ver-2199", "devicehostname": "Host", "devicemodel": "Model-2022", "devicename": "Dev 1", "deviceostype": "Windows", "deviceosversion": "Win-11", "deviceowner": "Administrator", "deviceplatform": "Windows", "devicetype": "WinUser", "dlpdictcount": "12|13", "dlpdictnames": "dlp: dlp discription|dlp1: dlp discription1|dlp2: dlp discription2", "dlpenginenames": "dlpengine", "dlpidentifier": "12", "dsttype": "personal_cloud_storage", "eventtime": "Mon Oct 16 22:55:48 2023", "expectedaction": "block", "filedoctype": "Medical", "filedstpath": "dest_path", "filemd5": "938c2cc0dcc05f2b68c4287040cfcf71", "filesha": "076085239f3a10b8f387c4e5d4261abf8d109aa641be35a8d4ed2d775eb09612", "filesrcpath": "source_path", "filetypecategory": "PLS File (pls)", "filetypename": "exe64", "hh": "22", "itemdstname": "nanolog", "itemname": "endpoint_dlp", "itemsrcname": "endpoint", "itemtype": "email_attachment", "logtype": "dlp_incident", "mm": "55", "mon": "Oct", "mth": "10", "numdlpdictids": "8", "numdlpengineids": "12", "recordid": "2", "feedtime": "Mon Oct 16 22:55:48 2023", "scannedbytes": "290812", "scantime": "1210", "severity": "High Severity", "srctype": "network_share", "ss": "48", "datetime": "Mon Oct 16 22:55:48 2023", "rulename": "configured_rule", "timezone": "GMT", "user": "TempUser", "yyyy": "2023", "zdpmode": "block mode", "odepartment": "4094304256", "odevicehostname": "4094304255", "odevicename": "4094304251", "odeviceowner": "4094304226", "odlpdictnames": "4094304456", "odlpenginenames": "4094364256", "ofiledstpath": "4094304296", "ofilesrcpath": "4094304206", "oitemdstname": "409430476", "oitemname": "40943042567", "oitemsrcname": "4094305256", "ootherrulelabels": "4036304256", "orulename": "40943049956", "ouser": "40943042569", "otherrulelabels": "9094304256" } }
防火墙日志
编辑- 默认端口(NSS 源):9012
- 默认端口(云 NSS 源):9557
请参阅:Zscaler 供应商文档
Zscaler 防火墙日志响应格式 (v2)
\{"sourcetype":"zscalernss-fw","event":\{"datetime":"%s{time}","outbytes":"%ld{outbytes}","cltdomain":"%s{cdfqdn}","destcountry":"%s{destcountry}","cdip":"%s{cdip}","sdip":"%s{sdip}","cdport":"%d{cdport}","sdport":"%d{sdport}","devicemodel":"%s{devicemodel}","action":"%s{action}","duration":"%d{duration}","recordid":"%d{recordid}","tz":"%s{tz}","devicename":"%s{devicename}","devicehostname":"%s{devicehostname}","deviceostype":"%s{deviceostype}","deviceosversion":"%s{deviceosversion}","nwapp":"%s{nwapp}","nwsvc":"%s{nwsvc}","proto":"%s{ipproto}","ipsrulelabel":"%s{ipsrulelabel}","dnatrulelabel":"%s{dnatrulelabel}","rdr_rulename":"%s{rdr_rulename}","rule":"%s{rulelabel}","rulelabel":"%s{erulelabel}","inbytes":"%ld{inbytes}","srcipcountry":"%s{srcip_country}","csip":"%s{csip}","ssip":"%s{ssip}","csport":"%d{csport}","ssport":"%d{ssport}","user":"%s{elogin}","aggregate":"%s{aggregate}","bypassed_session":"%d{bypassed_session}","bypass_time":"%s{bypass_etime}","datacentercity":"%s{datacentercity}","datacentercountry":"%s{datacentercountry}","datacenter":"%s{datacenter}","day_of_month":"%02d{dd}","department":"%s{edepartment}","dept":"%s{dept}","deviceappversion":"%s{deviceappversion}","deviceowner":"%s{deviceowner}","avgduration":"%d{avgduration}","durationms":"%d{durationms}","epochtime":"%d{epochtime}","external_deviceid":"%s{external_deviceid}","flow_type":"%s{flow_type}","forward_gateway_name":"%s{fwd_gw_name}","hour":"%02d{hh}","ipcat":"%s{ipcat}","ips_custom_signature":"%d{ips_custom_signature}","location":"%s{location}","locationname":"%s{elocation}","login":"%s{login}","minute":"%02d{mm}","month":"%s{mon}","month_of_year":"%02d{mth}","dnat":"%s{dnat}","odevicename":"%s{odevicename}","odeviceowner":"%s{odeviceowner}","ofwd_gw_name":"%s{ofwd_gw_name}","odevicehostname":"%s{odevicehostname}","oipcat":"%s{oipcat}","oipsrulelabel":"%s{oipsrulelabel}","ordr_rulename":"%s{ordr_rulename}","orulelabel":"%s{orulelabel}","ozpa_app_seg_name":"%s{ozpa_app_seg_name}","second":"%02d{ss}","numsessions":"%d{numsessions}","stateful":"%s{stateful}","threat_name":"%s{threatname}","threatcat":"%s{threatcat}","threatname":"%s{ethreatname}","tsip":"%s{tsip}","tuntype":"%s{ttype}","year":"%04d{yyyy}","ztunnelversion":"%s{ztunnelversion}","zpa_app_seg_name":"%s{zpa_app_seg_name}"\}\}
示例响应
{"sourcetype":"zscalernss-fw","event":{"datetime":"Mon Oct 16 22:55:48 2023","cltdomain":"www.example.com","cdip":"2a02:cf40::","outbytes":"10000","cdport":"22","destcountry":"USA","devicemodel":"20L8S7WC08","sdip":"67.43.156.0","duration":"600","sdport":"443","tz":"GMT","action":"Blocked","devicehostname":"THINKPADSMITH","recordid":"123456","deviceosversion":"Version 10.14.2 (Build 18C54)","devicename":"admin","nwsvc":"HTTP","deviceostype":"iOS","ipsrulelabel":"Default IPS Rule","nwapp":"Skype","rdr_rulename":"FWD_Rule_1","proto":"TCP","rulelabel":"rule1","dnatrulelabel":"DNAT_Rule_1","srcipcountry":"United States","rule":"Default_Firewall_Filtering_Rule","ssip":"1.128.0.0","inbytes":"10000","ssport":"22","csip":"0.0.0.0","aggregate":"Yes","csport":"25","bypass_time":"Mon Oct 16 22:55:48 2023","user":"jdoe%40safemarch.com","datacentercountry":"US","bypassed_session":"1","day":"Mon","datacentercity":"Sa","department":"sales","datacenter":"CA Client Node DC","deviceappversion":"2.0.0.120","day_of_month":"16","avgduration":"600","dept":"Sales","eedone":"Yes","deviceowner":"jsmith","external_deviceid":"1234","durationms":"600","forward_gateway_name":"FWD_1","epochtime":"1578128400","ipcat":"Finance","flow_type":"Direct","location":"Headquarters","hour":"22","login":"jdo%40safemarch.com","ips_custom_signature":"0","month":"Oct","locationname":"Headquarters","dnat":"Yes","minute":"55","odevicename":"2175092224","month_of_year":"10","ofwd_gw_name":"8794487099","ocsip":"9960223283","oipcat":"5300295980","odeviceowner":"10831489","odnatlabel":"7956407282","odevicehostname":"2168890624","orulelabel":"624054738","oipsrulelabel":"6200694987","second":"48","ordr_rulename":"3399565100","stateful":"Yes","ozpa_app_seg_name":"7648246731","threatcat":"Botnet Callback","numsessions":"5","tsip":"89.160.20.128","threat_name":"Linux.Backdoor.Tsunami","year":"2023","threatname":"Linux.Backdoor","zpa_app_seg_name":"ZPA_test_app_segment","tuntype":"L2 tunnel","ztunnelversion":"ZTUNNEL_1_0"}}
隧道日志
编辑- 默认端口(NSS 源):9013
- 默认端口(云 NSS 源):9558
请参阅:Zscaler 供应商文档
Zscaler 隧道日志响应格式 (v2)
-
隧道事件
\{"sourcetype":"zscalernss-tunnel","event":\{"datetime":"%s{datetime}","day":"%s{day}","dd":"%02d{dd}","destinationip":"%s{destvip}","event":"%s{event}","eventreason":"%s{eventreason}","hh":"%02d{hh}","locationname":"%s{locationname}","mm":"%02d{mm}","mon":"%s{mon}","mth":"%02d{mth}","olocationname":"%s{olocationname}","ovpncredentialname":"%s{ovpncredentialname}","recordid":"%d{recordid}","sourceip":"%s{sourceip}","sourceport":"%d{srcport}","ss":"%02d{ss}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","timezone":"%s{tz}","user":"%s{vpncredentialname}","yyyy":"%04d{yyyy}"\}\} -
示例事件
\{"sourcetype":"zscalernss-tunnel","event":\{"datetime":"%s{datetime}","day":"%s{day}","dd":"%02d{dd}","destinationip":"%s{destvip}","dpdrec":"%d{dpdrec}","hh":"%02d{hh}","locationname":"%s{locationname}","mm":"%02d{mm}","mon":"%s{mon}","mth":"%02d{mth}","olocationname":"%s{olocationname}","ovpncredentialname":"%s{ovpncredentialname}","recordid":"%d{recordid}","rxbytes":"%lu{rxbytes}","rxpackets":"%d{rxpackets}","sourceip":"%s{sourceip}","sourceport":"%d{srcport}","ss":"%02d{ss}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","txbytes":"%lu{txbytes}","txpackets":"%d{txpackets}","timezone":"%s{tz}","user":"%s{vpncredentialname}","yyyy":"%04d{yyyy}"\}\} -
IKE 阶段 1
\{"sourcetype":"zscalernss-tunnel","event":\{"algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","datetime":"%s{datetime}","day":"%s{day}","dd":"%02d{dd}","destinationip":"%s{destvip}","destinationport":"%d{dstport}","hh":"%02d{hh}","ikeversion":"%d{ikeversion}","lifetime":"%d{lifetime}","locationname":"%s{locationname}","mm":"%02d{mm}","mon":"%s{mon}","mth":"%02d{mth}","olocationname":"%s{olocationname}","ovpncredentialname":"%s{ovpncredentialname}","recordid":"%d{recordid}","sourceip":"%s{sourceip}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","sourceport":"%d{srcport}","ss":"%02d{ss}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","timezone":"%s{tz}","vendorname":"%s{vendorname}","user":"%s{vpncredentialname}","yyyy":"%04d{yyyy}"\}\} -
IKE 阶段 2
\{"sourcetype":"zscalernss-tunnel","event":\{"algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","datetime":"%s{datetime}","day":"%s{day}","dd":"%02d{dd}","destinationipend":"%s{destipend}","destinationipstart":"%s{destipstart}","destinationportstart":"%d{destportstart}","destinationip":"%s{destvip}","hh":"%02d{hh}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","lifetime":"%d{lifetime}","locationname":"%s{locationname}","mm":"%02d{mm}","mon":"%s{mon}","mth":"%02d{mth}","olocationname":"%s{olocationname}","ovpncredentialname":"%s{ovpncredentialname}","protocol":"%s{protocol}","recordid":"%d{recordid}","sourceip":"%s{sourceip}","spi":"%d{spi}","srcipend":"%s{srcipend}","srcipstart":"%s{srcipstart}","sourceportstart":"%d{srcportstart}","ss":"%02d{ss}","Recordtype":"%s{tunnelactionname}","tunnelprotocol":"%s{tunnelprotocol}","tunneltype":"IPSEC IKEV %d{ikeversion}","timezone":"%s{tz}","user":"%s{vpncredentialname}","yyyy":"%04d{yyyy}"\}\}
示例响应
{"sourcetype":"zscalernss-tunnel","event":{"datetime":"Mon Oct 16 22:55:48 2023","destinationip":"67.43.156.1","destinationport":"500","recordid":"111234","timezone":"GMT","sourceip":"67.43.156.0","sourceport":"500","user":"[email protected]","authentication":"HMAC_MD5","authtype":"PSKEY","day":"Mon","dd":"16","algo":"DES_CBC","hh":"22","ikeversion":"IKE_VERSION_2","lifetime":"86400","locationname":"Headquarters","mm":"55","mon":"Oct","mth":"10","olocationname":"2168890624","ovpncredentialname":"4094304256","ss":"48","spi_in":"None","spi_out":"None","Recordtype":"None","vendorname":"CISCO","yyyy":"2023"}}
Web 日志
编辑- 默认端口(NSS 源):9014
- 默认端口(云 NSS 源):9559
- 在配置 Web 日志时,请在 源转义字符 中添加字符 " 和 \。
请参阅:Zscaler 供应商文档
Zscaler Web 日志响应格式 (v9)
\{"version":"v9","sourcetype":"zscalernss-web","event":\{"time":"%s{time}","cloudname":"%s{cloudname}","host":"%s{ehost}","serverip":"%s{sip}","external_devid":"%s{external_devid}","devicemodel":"%s{devicemodel}","action":"%s{action}","recordid":"%d{recordid}","reason":"%s{reason}","threatseverity":"%s{threatseverity}","tz":"%s{tz}","filesubtype":"%s{filesubtype}","upload_filesubtype":"%s{upload_filesubtype}","sha256":"%s{sha256}","bamd5":"%s{bamd5}","filename":"%s{efilename}","upload_filename":"%s{eupload_filename}","filetype":"%s{filetype}","devicename":"%s{edevicename}","devicehostname":"%s{devicehostname}","deviceostype":"%s{deviceostype}","deviceosversion":"%s{deviceosversion}","devicetype":"%s{devicetype}","reqsize":"%d{reqsize}","reqmethod":"%s{reqmethod}","b64referer":"%s{b64referer}","respsize":"%d{respsize}","respcode":"%s{respcode}","reqversion":"%s{reqversion}","respversion":"%s{respversion}","proto":"%s{proto}","company":"%s{company}","dlpmd5":"%s{dlpmd5}","apprulelabel":"%s{eapprulelabel}","dlprulename":"%s{dlprulename}","rulelabel":"%s{erulelabel}","urlfilterrulelabel":"%s{eurlfilterrulelabel}","cltip":"%s{cip}","cltintip":"%s{cintip}","cltsourceport":"%d{clt_sport}","threatname":"%s{threatname}","cltsslcipher":"%s{clientsslcipher}","clttlsversion":"%s{clienttlsversion}","b64url":"%s{b64url}","useragent":"%s{eua}","login":"%s{elogin}","applayerprotocol":"%s{alpnprotocol}","appclass":"%s{appclass}","appname":"%s{appname}","appriskscore":"%s{app_risk_score}","bandwidthclassname":"%s{bwclassname}","bandwidthrulename":"%s{bwrulename}","bwthrottle":"%s{bwthrottle}","bypassedtime":"%s{bypassed_etime}","bypassedtraffic":"%d{bypassed_traffic}","cltsslsessreuse":"%s{clientsslsessreuse}","cltpubip":"%s{cpubip}","cltsslfailcount":"%d{cltsslfailcount}","cltsslfailreason":"%s{cltsslfailreason}","contenttype":"%s{contenttype}","datacentercity":"%s{datacentercity}","datacentercountry":"%s{datacentercountry}","datacenter":"%s{datacenter}","day":"%s{day}","day_of_month":"%02d{dd}","dept":"%s{dept}","deviceappversion":"%s{deviceappversion}","deviceowner":"%s{deviceowner}","df_hosthead":"%s{df_hosthead}","df_hostname":"%s{df_hostname}","dlpdicthitcount":"%s{dlpdicthitcount}","dlpdict":"%s{dlpdict}","dlpeng":"%s{dlpeng}","dlpidentifier":"%d{dlpidentifier}","eedone":"%s{eedone}","epochtime":"%d{epochtime}","fileclass":"%s{fileclass}","flow_type":"%s{flow_type}","forward_gateway_ip":"%s{fwd_gw_ip}","forward_gateway_name":"%s{fwd_gw_name}","forward_type":"%s{fwd_type}","hour":"%02d{hh}","is_sslexpiredca":"%s{is_sslexpiredca}","is_sslselfsigned":"%s{is_sslselfsigned}","is_ssluntrustedca":"%s{is_ssluntrustedca}","keyprotectiontype":"%s{keyprotectiontype}","location":"%s{elocation}","malwarecategory":"%s{malwarecat}","malwareclass":"%s{malwareclass}","minute":"%02d{mm}","mobappcategory":"%s{mobappcat}","mobappname":"%s{emobappname}","mobdevtype":"%s{mobdevtype}","module":"%s{module}","month":"%s{mon}","month_of_year":"%02d{mth}","nssserviceip":"%s{nsssvcip}","oapprulelabel":"%s{oapprulelabel}","obwclassname":"%s{obwclassname}","ocip":"%d{ocip}","ocpubip":"%d{ocpubip}","odevicehostname":"%s{odevicehostname}","odevicename":"%s{odevicename}","odeviceowner":"%s{odeviceowner}","odlpdict":"%s{odlpdict}","odlpeng":"%s{odlpeng}","odlprulename":"%s{odlprulename}","ofwd_gw_name":"%s{ofwd_gw_name}","ologin":"%s{ologin}","ordr_rulename":"%s{ordr_rulename}","ourlcat":"%s{ourlcat}","ourlfilterrulelabel":"%s{ourlfilterrulelabel}","ozpa_app_seg_name":"%s{ozpa_app_seg_name}","externalsslpolicyreason":"%s{externalspr}","productversion":"%s{productversion}","rdr_rulename":"%s{rdr_rulename}","refererhost":"%s{erefererhost}","reqheadersize":"%d{reqhdrsize}","reqdatasize":"%d{reqdatasize}","respheadersize":"%d{resphdrsize}","respdatasize":"%d{respdatasize}","riskscore":"%d{riskscore}","ruletype":"%s{ruletype}","second":"%02d{ss}","srvcertchainvalpass":"%s{srvcertchainvalpass}","srvcertvalidationtype":"%s{srvcertvalidationtype}","srvcertvalidityperiod":"%s{srvcertvalidityperiod}","srvsslcipher":"%s{srvsslcipher}","serversslsessreuse":"%s{serversslsessreuse}","srvocspresult":"%s{srvocspresult}","srvtlsversion":"%s{srvtlsversion}","srvwildcardcert":"%s{srvwildcardcert}","ssldecrypted":"%s{ssldecrypted}","throttlereqsize":"%d{throttlereqsize}","throttlerespsize":"%d{throttlerespsize}","totalsize":"%d{totalsize}","trafficredirectmethod":"%s{trafficredirectmethod}","unscannabletype":"%s{unscannabletype}","upload_doctypename":"%s{upload_doctypename}","upload_fileclass":"%s{upload_fileclass}","upload_filetype":"%s{upload_filetype}","urlcatmethod":"%s{urlcatmethod}","urlsubcat":"%s{urlcat}","urlsupercat":"%s{urlsupercat}","urlclass":"%s{urlclass}","useragentclass":"%s{uaclass}","useragenttoken":"%s{ua_token}","userlocationname":"%s{euserlocationname}","year":"%04d{yyyy}","ztunnelversion":"%s{ztunnelversion}","zpa_app_seg_name":"%s{zpa_app_seg_name}"\}\}
示例响应
{"version":"v9","sourcetype":"zscalernss-web","event":{"time":"Mon Oct 16 22:55:48 2023","cloudname":"zscaler.net","host":"mail.google.com","serverip":"1.128.0.0","external_devid":"1234","devicemodel":"20L8S7WC08","action":"Allowed","recordid":123456789,"reason":"File Attachment Cautioned","threatseverity":"Critical (90–100)","tz":"GMT","filesubtype":"exe","upload_filesubtype":"rar","sha256":"81ec78bc8298568bb5ea66d3c2972b670d0f7459b6cdbbcaacce90ab417ab15c","bamd5":"196a3d797bfee07fe4596b69f4ce1141","filename":"nssfeed.txt","upload_filename":"nssfeed.exe","filetype":"RAR Files","devicename":"PC11NLPA%3A5F08D97BBF43257A8FB4BBF4061A38AE324EF734","devicehostname":"THINKPADSMITH","deviceostype":"iOS","deviceosversion":"Version 10.14.2 (Build 18C54)","devicetype":"Zscaler Client Connector","reqsize":1300,"reqmethod":"invalid","b64referer":"d3d3LmV4YW1wbGUuY29tL3NlYXJjaD9maWx0ZXJzPWd1aWQ6IjQwLWVuLWRpYSIgbGFuZzoiZW4iJmZvcm09UzAwJnE9aG93IHRvIHVzZSByZW1vdGUgZGVza3RvcCB0byBjb25uZWN0IHRvIGEgd2luZG93cyAxMCBwYw==","respsize":10500,"respcode":"100","reqversion":"1.1","respversion":"1","proto":"HTTP","company":"Zscaler","dlpmd5":"154f149b1443fbfa8c121d13e5c019a1","apprulelabel":"File_Sharing_1","dlprulename":"DLP_Rule_1","rulelabel":"URL_Filtering_1","urlfilterrulelabel":"URL_Filtering_2","cltip":"81.2.69.144","cltintip":"89.160.20.128","cltsourceport":12345,"threatname":"EICAR Test File","cltsslcipher":"SSL3_CK_RSA_NULL_MD5","clttlsversion":"SSL2","b64url":"d3d3LnRyeXRoaXNlbmNvZGV1cmwuY29tL3BhcmFtcz9JZD0xJnRzPTIwMDYtMDEtMDJUMTU6MDQ6MDVaMDc6MDAmdXNlcj02NTc5MiZ2ZXJzaW9uPTEwLjAuMTkwNDEuMTI2Ng==","useragent":"Mozilla/5.0","login":"[email protected]","applayerprotocol":"FTP","appclass":"Administration","appname":"Adobe Connect","appriskscore":"1","bandwidthclassname":"Entertainment","bandwidthrulename":"Office 365","bwthrottle":"Yes","bypassedtime":"Mon Oct 16 22:55:48 2023","bypassedtraffic":"1","cltsslsessreuse":"Unknown","cltpubip":"175.16.199.0","cltsslfailcount":100,"cltsslfailreason":"Bad Record Mac","contenttype":"application/vnd_apple_keynote","datacentercity":"Sa","datacentercountry":"US","datacenter":"CA Client Node DC","day":"Mon","day_of_month":16,"dept":"Sales","deviceappversion":"1.128.0.0","deviceowner":"jsmith","df_hosthead":"df_hosthead","df_hostname":"df_hostname","dlpdicthitcount":"4","dlpdict":"Credit Cards","dlpeng":"HIPAA","dlpidentifier":6646484838839026000,"eedone":"Yes","epochtime":1578128400,"fileclass":"Active Web Contents","flow_type":"Direct","forward_gateway_ip":"10.1.1.1","forward_gateway_name":"FWD_1","forward_type":"Direct","hour":22,"is_sslexpiredca":"Yes","is_sslselfsigned":"Yes","is_ssluntrustedca":"Pass","keyprotectiontype":"HSM Protection","location":"Headquarters","malwarecategory":"Adware","malwareclass":"Sandbox","minute":55,"mobappcategory":"Communication","mobappname":"Amazon","mobdevtype":"Google Android","module":"Administration","month":"Oct","month_of_year":10,"nssserviceip":"192.168.2.200","oapprulelabel":"5300295980","obwclassname":"10831489","ocip":6200694987,"ocpubip":624054738,"odevicehostname":"2168890624","odevicename":"2175092224","odeviceowner":"10831489","odlpdict":"10831489","odlpeng":"4094304256","odlprulename":"6857275752","ofwd_gw_name":"8794487099","ologin":"4094304256","ordr_rulename":"3399565100","ourlcat":"7956407282","ourlfilterrulelabel":"4951704103","ozpa_app_seg_name":"7648246731","externalsslpolicyreason":"Blocked","productversion":"5.0.902.95524_04","rdr_rulename":"FWD_Rule_1","refererhost":"www.example.com for http://www.example.com/index.html","reqheadersize":300,"reqdatasize":1000,"respheadersize":500,"respdatasize":10000,"riskscore":10,"ruletype":"File Type Control","second":48,"srvcertchainvalpass":"Unknown","srvcertvalidationtype":"EV (Extended Validation)","srvcertvalidityperiod":"Short","srvsslcipher":"SSL3_CK_RSA_NULL_MD5","serversslsessreuse":"Unknown","srvocspresult":"Good","srvtlsversion":"SSL2","srvwildcardcert":"Unknown","ssldecrypted":"Yes","throttlereqsize":5,"throttlerespsize":7,"totalsize":11800,"trafficredirectmethod":"DNAT (Destination Translation)","unscannabletype":"Encrypted File","upload_doctypename":"Corporate Finance","upload_fileclass":"upload_fileclass","upload_filetype":"RAR Files","urlcatmethod":"Database A","urlsubcat":"Entertainment","urlsupercat":"Travel","urlclass":"Bandwidth Loss","useragentclass":"Firefox","useragenttoken":"Google Chrome (0.x)","userlocationname":"userlocationname","year":2023,"ztunnelversion":"ZTUNNEL_1_0","zpa_app_seg_name":"ZPA_test_app_segment"}}
在 Elastic 中启用集成
编辑- 在 Kibana 中,转到“管理”>“集成”。
- 在“搜索集成”搜索栏中,键入 Zscaler ZIA。
- 从搜索结果中单击“Zscaler ZIA”集成。
- 单击“添加 Zscaler ZIA”按钮以添加集成。
- 配置所有必需的集成参数,包括 URL、客户端 ID、客户端密钥、范围、令牌 URL、详细信息和 MD5,以启用 Zscaler ZIA API 的数据收集。对于 TCP 和 HTTP 端点数据收集,请提供诸如侦听地址和侦听端口之类的参数。
- 保存集成。
注意事项
- 为确保正确处理 URL,对于
network.protocol值不是http或https的日志,出于 URL 解析的目的,会将其隐式转换为https。network.protocol的原始值将保留。
日志参考
编辑警报
编辑这是 alerts 数据集。
示例
alerts 的示例事件如下所示
{
"@timestamp": "2024-12-10T13:40:32.000Z",
"agent": {
"ephemeral_id": "9c123331-181f-42a0-af82-70e49ce7aaa1",
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.alerts",
"namespace": "ep",
"type": "logs"
},
"destination": {
"address": "81.2.69.193",
"ip": "81.2.69.193",
"port": 9012
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "zscaler_zia.alerts",
"ingested": "2024-07-04T11:58:59Z"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.243.6:40328"
},
"syslog": {
"priority": 114
}
},
"message": "ZscalerNSS: SIEM Feed connection \"DNS Logs Feed\" to 81.2.69.193:9012 lost and unavailable for the past 2440.00 minutes",
"related": {
"ip": [
"81.2.69.193"
]
},
"tags": [
"forwarded",
"zscaler_zia-alerts"
],
"zscaler_zia": {
"alerts": {
"connection_lost_minutes": 2440,
"log_feed_name": "DNS Logs Feed"
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.alerts.connection_lost_minutes |
与服务器失去连接后的时间量(分钟)。 |
double |
zscaler_zia.alerts.destination.address |
keyword |
|
zscaler_zia.alerts.destination.ip |
ip |
|
zscaler_zia.alerts.destination.port |
long |
|
zscaler_zia.alerts.log_feed_name |
NSS 日志源的名称。 |
keyword |
zscaler_zia.alerts.log_syslog_priority |
long |
|
zscaler_zia.alerts.message |
keyword |
|
zscaler_zia.alerts.timestamp |
日期 |
审核
编辑这是 audit 数据集。
示例
audit 的示例事件如下所示
{
"@timestamp": "2023-10-16T22:55:48.000Z",
"agent": {
"ephemeral_id": "8fbed883-d7e9-41ab-99d8-6fef7131d443",
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"snapshot": false,
"version": "8.13.0"
},
"error": {
"code": "AUTHENTICATION_FAILED"
},
"event": {
"action": "activate",
"agent_id_status": "verified",
"category": [
"configuration"
],
"dataset": "zscaler_zia.audit",
"id": "1234",
"ingested": "2024-07-04T12:01:12Z",
"kind": "event",
"outcome": "success",
"timezone": "UTC",
"type": [
"change"
]
},
"input": {
"type": "http_endpoint"
},
"related": {
"ip": [
"89.160.20.112"
],
"user": [
"example",
"[email protected]"
]
},
"rule": {
"category": "DLP_DICTIONARY",
"name": "SSL Rule Name",
"ruleset": "DATA_LOSS_PREVENTION_RESOURCE"
},
"source": {
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112"
},
"tags": [
"forwarded",
"zscaler_zia-audit"
],
"user": {
"domain": "zscaler.com",
"email": "[email protected]",
"name": "example"
},
"zscaler_zia": {
"audit": {
"audit_log_type": "ZIA Portal Audit Log",
"interface": "API",
"result": "SUCCESS"
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.audit.action |
管理员在 ZIA 管理门户中执行的操作。 |
keyword |
zscaler_zia.audit.admin_id |
管理员的登录 ID。 |
keyword |
zscaler_zia.audit.audit_log_type |
管理员审核日志类型。 |
keyword |
zscaler_zia.audit.category |
ZIA 管理门户中执行操作的位置。 |
keyword |
zscaler_zia.audit.client_ip |
管理员的源 IP 地址。 |
ip |
zscaler_zia.audit.error_code |
一个可选字段,仅当结果为失败时才存在。 |
keyword |
zscaler_zia.audit.interface |
用户执行操作的方式。 |
keyword |
zscaler_zia.audit.post_action |
任何策略或配置更改之后的数据。 |
已扁平化 |
zscaler_zia.audit.pre_action |
任何策略或配置更改之前的数据。 |
已扁平化 |
zscaler_zia.audit.record.id |
每个日志的唯一记录标识符。 |
keyword |
zscaler_zia.audit.resource |
子类别中的具体位置。 |
keyword |
zscaler_zia.audit.result |
操作的结果。 |
keyword |
zscaler_zia.audit.sub_category |
执行操作的 ZIA 管理门户中的子位置。 |
keyword |
zscaler_zia.audit.time |
事务的时间和日期。 |
日期 |
zscaler_zia.audit.timezone |
时区。 |
keyword |
dns
编辑这是 dns 数据集。
示例
dns 的示例事件如下所示
{
"@timestamp": "2021-12-17T07:27:54.000Z",
"agent": {
"ephemeral_id": "6dac0cbb-768a-4dc4-a476-6bf881ed6755",
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.dns",
"namespace": "ep",
"type": "logs"
},
"destination": {
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.156"
},
"dns": {
"answers": [
{
"data": "Some response string"
}
],
"question": {
"name": "example.com",
"type": "Some type"
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "zscaler_zia.dns",
"duration": 123456000000,
"ingested": "2024-07-04T12:03:18Z",
"kind": "event",
"timezone": "UTC",
"type": [
"info"
]
},
"host": {
"name": "machine9000"
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.243.6:52614"
}
},
"network": {
"protocol": "dns"
},
"related": {
"hosts": [
"machine9000"
],
"ip": [
"89.160.20.112",
"89.160.20.156"
],
"user": [
"Owner77",
"some_user",
"[email protected]"
]
},
"rule": {
"name": [
"Access Blocked"
]
},
"source": {
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.112",
"port": 8080
},
"tags": [
"forwarded",
"zscaler_zia-dns"
],
"user": {
"domain": "example.com",
"email": "[email protected]",
"name": "some_user"
},
"zscaler_zia": {
"dns": {
"department": "Unknown",
"device": {
"owner": "Owner77"
},
"dom": {
"category": "Professional Services"
},
"location": "TestLoc DB",
"request": {
"action": "REQ_ALLOW"
},
"response": {
"action": "Some Response Action"
}
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.dns.client.ip |
用户的 IP 地址。 |
ip |
zscaler_zia.dns.cloud.name |
Zscaler 云名称。 |
keyword |
zscaler_zia.dns.company |
公司名称。 |
keyword |
zscaler_zia.dns.datacenter.city |
数据中心所在的城市。 |
keyword |
zscaler_zia.dns.datacenter.country |
数据中心所在的国家/地区。 |
keyword |
zscaler_zia.dns.datacenter.name |
数据中心的名称。 |
keyword |
zscaler_zia.dns.day |
星期几。 |
keyword |
zscaler_zia.dns.day_of_month |
当月的哪一天。 |
long |
zscaler_zia.dns.department |
keyword |
|
zscaler_zia.dns.dept |
部门。 |
keyword |
zscaler_zia.dns.device.appversion |
设备使用的应用程序版本。 |
keyword |
zscaler_zia.dns.device.hostname |
设备的主机名。 |
keyword |
zscaler_zia.dns.device.model |
设备的型号。 |
keyword |
zscaler_zia.dns.device.name |
设备的名称。 |
keyword |
zscaler_zia.dns.device.os.type |
设备的操作系统类型。 |
keyword |
zscaler_zia.dns.device.os.version |
设备使用的操作系统版本。 |
keyword |
zscaler_zia.dns.device.owner |
设备的所有者。 |
keyword |
zscaler_zia.dns.device.type |
设备类型。 |
keyword |
zscaler_zia.dns.dns.category |
DNS 隧道或网络应用程序类别。 |
keyword |
zscaler_zia.dns.dns.gateway.rule |
DNS 网关规则的名称。 |
keyword |
zscaler_zia.dns.dns.gateway.server_protocol |
DNS 网关服务器协议。 |
keyword |
zscaler_zia.dns.dns.gateway.status |
指示事务的 DNS 网关状态的标志。 |
keyword |
zscaler_zia.dns.dns.type |
DNS 隧道或网络应用程序的类型。 |
keyword |
zscaler_zia.dns.dom.category |
DNS 请求中 FQDN 的 URL 类别。 |
keyword |
zscaler_zia.dns.duration.milliseconds |
DNS 请求的持续时间,以毫秒为单位。 |
long |
zscaler_zia.dns.ecs.prefix |
DNS 请求中使用的 EDNS 客户端子网 (ECS) 前缀。 |
keyword |
zscaler_zia.dns.ecs.slot |
应用于 DNS 事务的 EDNS 客户端子网 (ECS) 规则的名称。 |
keyword |
zscaler_zia.dns.eedone |
指示 NSS 配置页面的“馈送转义字符”字段中指定的字符是否已进行十六进制编码。 |
keyword |
zscaler_zia.dns.epochtime |
事务的纪元时间。 |
日期 |
zscaler_zia.dns.error |
DNS 错误代码。 |
keyword |
zscaler_zia.dns.hour |
小时。 |
long |
zscaler_zia.dns.http_code |
HTTP 返回代码。 |
keyword |
zscaler_zia.dns.istcp |
指示 DNS 事务是否使用 TCP。 |
keyword |
zscaler_zia.dns.loc |
源的网关位置或子位置。 |
keyword |
zscaler_zia.dns.location |
keyword |
|
zscaler_zia.dns.login |
电子邮件地址格式的登录名。 |
keyword |
zscaler_zia.dns.minutes |
分钟。 |
long |
zscaler_zia.dns.month |
月份的名称。 |
keyword |
zscaler_zia.dns.month_of_year |
一年中的月份。 |
long |
zscaler_zia.dns.obfuscated.client_source_ip |
客户端源 IP 地址的模糊版本。 |
keyword |
zscaler_zia.dns.obfuscated.device.name |
设备名称的模糊版本。 |
keyword |
zscaler_zia.dns.obfuscated.device.owner |
设备所有者的模糊版本。 |
keyword |
zscaler_zia.dns.obfuscated.dom.category |
DNS 请求中 FQDN 的模糊版本。 |
keyword |
zscaler_zia.dns.obfuscated.host_name |
设备主机名的模糊版本。 |
keyword |
zscaler_zia.dns.protocol |
协议类型。 |
keyword |
zscaler_zia.dns.record.id |
每个日志的唯一记录标识符。 |
keyword |
zscaler_zia.dns.request.action |
应用于 DNS 请求的操作的名称。 |
keyword |
zscaler_zia.dns.request.name |
DNS 请求中的完全限定域名 (FQDN)。 |
keyword |
zscaler_zia.dns.request.rule.label |
应用于 DNS 请求的规则的名称。 |
keyword |
zscaler_zia.dns.request.type |
DNS 请求类型。 |
keyword |
zscaler_zia.dns.response.action |
应用于 DNS 响应的操作的名称。 |
keyword |
zscaler_zia.dns.response.category |
DNS 响应中 FQDN 的 URL 类别。 |
keyword |
zscaler_zia.dns.response.ip |
DNS 响应中解析的 IP。 |
ip |
zscaler_zia.dns.response.name |
DNS 响应中的 NAME。 |
keyword |
zscaler_zia.dns.response.rule.label |
应用于 DNS 响应的规则的名称。 |
keyword |
zscaler_zia.dns.response.type |
DNS 响应类型。 |
keyword |
zscaler_zia.dns.second |
秒。 |
long |
zscaler_zia.dns.server.ip |
请求的服务器 IP 地址。 |
ip |
zscaler_zia.dns.server.port |
请求的服务器端口。 |
long |
zscaler_zia.dns.time |
事务的时间和日期。 |
日期 |
zscaler_zia.dns.timezone |
时区。这与您在配置 NSS 馈送时指定的时区相同。 |
keyword |
zscaler_zia.dns.user |
keyword |
|
zscaler_zia.dns.year |
年份。 |
long |
endpoint_dlp
编辑这是 endpoint_dlp 数据集。
示例
endpoint_dlp 的示例事件如下所示
{
"@timestamp": "2023-10-16T22:55:48.000Z",
"agent": {
"ephemeral_id": "8455a4fe-aa90-48fd-9136-5bbf8e89473d",
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.endpoint_dlp",
"namespace": "ep",
"type": "logs"
},
"device": {
"model": {
"identifier": "Model-2022"
}
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "allow",
"agent_id_status": "verified",
"category": [
"intrusion_detection"
],
"dataset": "zscaler_zia.endpoint_dlp",
"id": "2",
"ingested": "2024-07-04T12:05:26Z",
"kind": "alert",
"timezone": "GMT",
"type": [
"allowed"
]
},
"file": {
"hash": {
"md5": "938c2cc0dcc05f2b68c4287040cfcf71",
"sha256": "076085239f3a10b8f387c4e5d4261abf8d109aa641be35a8d4ed2d775eb09612"
},
"path": "dest_path",
"type": "file"
},
"host": {
"hostname": "Dev 1",
"name": "host",
"os": {
"platform": "Windows",
"version": "Win-11"
},
"type": "WinUser"
},
"input": {
"type": "http_endpoint"
},
"related": {
"hash": [
"938c2cc0dcc05f2b68c4287040cfcf71",
"076085239f3a10b8f387c4e5d4261abf8d109aa641be35a8d4ed2d775eb09612"
],
"hosts": [
"host",
"Dev 1"
],
"user": [
"Administrator",
"TempUser"
]
},
"rule": {
"name": [
"configured_rule"
]
},
"tags": [
"forwarded",
"zscaler_zia-endpoint_dlp"
],
"user": {
"name": "TempUser"
},
"zscaler_zia": {
"endpoint_dlp": {
"activity_type": "email_sent",
"additional_info": "File already open by another application",
"channel": "Network Drive Transfer",
"confirm_action": "confirm",
"confirm_just": "My manager approved it",
"datacenter": {
"city": "Atlanta",
"country": "US",
"name": "Georgia"
},
"day": "Mon",
"day_of_month": 16,
"department": "TempDept",
"destination_type": "personal_cloud_storage",
"device": {
"appversion": "Ver-2199",
"os": {
"type": "Windows"
},
"owner": "Administrator"
},
"dictionary": {
"id": 8
},
"dictionary_names": [
"[dlp]"
],
"engine": {
"id": 12
},
"engine_names": [
"dlpengine"
],
"event_time": "2023-10-16T22:55:48.000Z",
"expected_action": "block",
"feed_time": "2023-10-16T22:55:48.000Z",
"file": {
"doc_type": "Medical",
"source_path": "source_path",
"type": {
"name": "exe64"
},
"type_category": "PLS File (pls)"
},
"hour": 22,
"identifier": "12",
"item": {
"destination_name": "nanolog",
"name": "endpoint_dlp",
"source_name": "endpoint",
"type": "email_attachment"
},
"log_type": "dlp_incident",
"minute": 55,
"month": "Oct",
"month_of_year": 10,
"scan_time": 1210,
"scanned_bytes": 290812,
"second": 48,
"severity": "High Severity",
"source_type": "network_share",
"timezone": "GMT",
"year": 2023,
"zdp_mode": "block mode"
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.endpoint_dlp.action_taken |
Zscaler 数据保护采取的操作。 |
keyword |
zscaler_zia.endpoint_dlp.activity_type |
活动类型。 |
keyword |
zscaler_zia.endpoint_dlp.additional_info |
其他信息。 |
keyword |
zscaler_zia.endpoint_dlp.channel |
通道。 |
keyword |
zscaler_zia.endpoint_dlp.confirm_action |
用户的确认操作。 |
keyword |
zscaler_zia.endpoint_dlp.confirm_just |
用户的确认操作理由。 |
keyword |
zscaler_zia.endpoint_dlp.counts |
每个 DLP 字典的命中次数。 |
long |
zscaler_zia.endpoint_dlp.datacenter.city |
数据中心所在的城市。 |
keyword |
zscaler_zia.endpoint_dlp.datacenter.country |
数据中心所在的国家/地区。 |
keyword |
zscaler_zia.endpoint_dlp.datacenter.name |
数据中心的名称。 |
keyword |
zscaler_zia.endpoint_dlp.day |
星期几。 |
keyword |
zscaler_zia.endpoint_dlp.day_of_month |
当月的哪一天。 |
long |
zscaler_zia.endpoint_dlp.department |
部门名称。 |
keyword |
zscaler_zia.endpoint_dlp.destination_type |
目标类型。 |
keyword |
zscaler_zia.endpoint_dlp.device.appversion |
设备应用程序版本。 |
keyword |
zscaler_zia.endpoint_dlp.device.hostname |
设备主机名。 |
keyword |
zscaler_zia.endpoint_dlp.device.model |
设备型号。 |
keyword |
zscaler_zia.endpoint_dlp.device.name |
设备名称。 |
keyword |
zscaler_zia.endpoint_dlp.device.os.type |
设备操作系统类型。 |
keyword |
zscaler_zia.endpoint_dlp.device.os.version |
设备操作系统版本。 |
keyword |
zscaler_zia.endpoint_dlp.device.owner |
设备所有者。 |
keyword |
zscaler_zia.endpoint_dlp.device.platform |
设备平台。 |
keyword |
zscaler_zia.endpoint_dlp.device.type |
设备类型。 |
keyword |
zscaler_zia.endpoint_dlp.dictionary.id |
命中的 DLP 字典数量。 |
long |
zscaler_zia.endpoint_dlp.dictionary_names |
DLP 字典名称。 |
keyword |
zscaler_zia.endpoint_dlp.engine.id |
命中的 DLP 引擎数量。 |
long |
zscaler_zia.endpoint_dlp.engine_names |
DLP 引擎名称。 |
keyword |
zscaler_zia.endpoint_dlp.event_time |
事件时间。 |
日期 |
zscaler_zia.endpoint_dlp.expected_action |
ZDP 的预期操作。 |
keyword |
zscaler_zia.endpoint_dlp.feed_time |
馈送时间。 |
日期 |
zscaler_zia.endpoint_dlp.file.destination_path |
文件目标路径。 |
keyword |
zscaler_zia.endpoint_dlp.file.doc_type |
文件文档类型。 |
keyword |
zscaler_zia.endpoint_dlp.file.md5 |
文件 MD5 哈希值。 |
keyword |
zscaler_zia.endpoint_dlp.file.sha256 |
文件 SHA256 哈希值。 |
keyword |
zscaler_zia.endpoint_dlp.file.source_path |
文件源路径。 |
keyword |
zscaler_zia.endpoint_dlp.file.type.name |
文件类型。 |
keyword |
zscaler_zia.endpoint_dlp.file.type_category |
文件类型类别。 |
keyword |
zscaler_zia.endpoint_dlp.hour |
小时。 |
long |
zscaler_zia.endpoint_dlp.identifier |
唯一的 DLP 标识符。 |
keyword |
zscaler_zia.endpoint_dlp.item.destination_name |
项目目标名称。 |
keyword |
zscaler_zia.endpoint_dlp.item.name |
项目名称。 |
keyword |
zscaler_zia.endpoint_dlp.item.source_name |
项目源名称。 |
keyword |
zscaler_zia.endpoint_dlp.item.type |
项目类型。 |
keyword |
zscaler_zia.endpoint_dlp.log_type |
记录的类型。 |
keyword |
zscaler_zia.endpoint_dlp.minute |
分钟。 |
long |
zscaler_zia.endpoint_dlp.month |
月份的名称。 |
keyword |
zscaler_zia.endpoint_dlp.month_of_year |
一年中的月份。 |
long |
zscaler_zia.endpoint_dlp.obfuscated.department |
部门名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.device.hostname |
设备主机名的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.device.name |
设备名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.device.owner |
设备所有者的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.dlp.dictionary_names |
DLP 字典名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.dlp.engine_names |
DLP 引擎名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.file.destination_path |
文件目标路径的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.file.source_path |
文件源路径的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.item.destination_names |
项目目标名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.item.name |
项目名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.item.source_names |
项目源名称的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.other_rule_labels |
其他规则标签的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.triggered_rule_label |
触发的 DLP 规则的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.obfuscated.user |
用户名的模糊版本。 |
keyword |
zscaler_zia.endpoint_dlp.other_rule_labels |
触发的其他规则的标签。 |
keyword |
zscaler_zia.endpoint_dlp.record.id |
唯一的记录标识符。 |
keyword |
zscaler_zia.endpoint_dlp.scan_time |
扫描时间,以毫秒为单位。 |
long |
zscaler_zia.endpoint_dlp.scanned_bytes |
扫描的项目大小,以字节为单位。 |
long |
zscaler_zia.endpoint_dlp.second |
秒。 |
long |
zscaler_zia.endpoint_dlp.severity |
事件的严重性。 |
keyword |
zscaler_zia.endpoint_dlp.source_type |
源类型。 |
keyword |
zscaler_zia.endpoint_dlp.time |
日志时间。 |
日期 |
zscaler_zia.endpoint_dlp.timezone |
时区。 |
keyword |
zscaler_zia.endpoint_dlp.triggered_rule_label |
触发的 DLP 规则。 |
keyword |
zscaler_zia.endpoint_dlp.user |
用户名。 |
keyword |
zscaler_zia.endpoint_dlp.year |
年份。 |
long |
zscaler_zia.endpoint_dlp.zdp_mode |
ZDP 模式。 |
keyword |
firewall
编辑这是 firewall 数据集。
示例
firewall 的示例事件如下所示
{
"@timestamp": "2022-12-31T02:22:22.000Z",
"agent": {
"ephemeral_id": "e9bfb284-65f1-4d68-8a50-004b259d481f",
"id": "c484a04a-ca60-4ebd-a941-425901026a2c",
"name": "elastic-agent-76313",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.firewall",
"namespace": "35906",
"type": "logs"
},
"destination": {
"bytes": 0,
"ip": "0.0.0.0",
"port": [
120,
0
]
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c484a04a-ca60-4ebd-a941-425901026a2c",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "outofrange",
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "zscaler_zia.firewall",
"duration": 0,
"ingested": "2024-11-01T08:59:18Z",
"kind": "event",
"timezone": "UTC",
"type": [
"info"
]
},
"input": {
"type": "http_endpoint"
},
"network": {
"application": "notavailable",
"bytes": 0,
"transport": "ip"
},
"observer": {
"product": "ZIA",
"type": "firewall",
"vendor": "Zscaler"
},
"related": {
"ip": [
"0.0.0.0"
]
},
"source": {
"bytes": 0,
"ip": "0.0.0.0",
"nat": {
"ip": "0.0.0.0"
},
"port": [
0
]
},
"tags": [
"forwarded",
"zscaler_zia-firewall"
],
"zscaler_zia": {
"firewall": {
"aggregate": "No",
"client": {
"destination": {
"ip": "0.0.0.0"
},
"source": {
"ip": "0.0.0.0"
}
},
"department": "Unknown",
"duration": {
"average_duration": 0,
"seconds": 0
},
"ip_category": "Other",
"location_name": "Unknown",
"nat": "No",
"server": {
"destination": {
"ip": "0.0.0.0"
},
"source": {
"ip": "0.0.0.0"
}
},
"session": {
"count": 1
},
"stateful": "Yes",
"tunnel": {
"ip": "0.0.0.0",
"type": "OutOfRange"
}
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.firewall.action |
服务对事务执行的操作。 |
keyword |
zscaler_zia.firewall.aggregate |
指示防火墙会话是否已聚合。 |
keyword |
zscaler_zia.firewall.bypassed.session |
指示流量是否绕过 Zscaler 客户端连接器。 |
keyword |
zscaler_zia.firewall.bypassed.time |
流量绕过 Zscaler 客户端连接器的日期和时间。 |
日期 |
zscaler_zia.firewall.bytes_in |
从服务器发送到客户端的字节数。 |
long |
zscaler_zia.firewall.client.destination.ip |
客户端目标 IP 地址。 |
ip |
zscaler_zia.firewall.client.destination.port |
客户端目标端口。 |
long |
zscaler_zia.firewall.client.domain |
客户端目标 FDQN。 |
keyword |
zscaler_zia.firewall.client.source.ip |
客户端源 IP 地址。 |
ip |
zscaler_zia.firewall.client.source.port |
客户端源端口。 |
long |
zscaler_zia.firewall.datacenter.city |
数据中心所在的城市。 |
keyword |
zscaler_zia.firewall.datacenter.country |
数据中心所在的国家/地区。 |
keyword |
zscaler_zia.firewall.datacenter.name |
数据中心的名称。 |
keyword |
zscaler_zia.firewall.day |
星期几。 |
keyword |
zscaler_zia.firewall.day_of_month |
当月的哪一天。 |
long |
zscaler_zia.firewall.department |
keyword |
|
zscaler_zia.firewall.dept |
用户的部门。 |
keyword |
zscaler_zia.firewall.destination.country |
目标 IP 地址的国家/地区的缩写代码。 |
keyword |
zscaler_zia.firewall.device.appversion |
设备应用程序使用的应用程序版本。 |
keyword |
zscaler_zia.firewall.device.hostname |
设备的主机名。 |
keyword |
zscaler_zia.firewall.device.model |
设备的型号。 |
keyword |
zscaler_zia.firewall.device.name |
设备的名称。 |
keyword |
zscaler_zia.firewall.device.os.type |
设备的操作系统类型。 |
keyword |
zscaler_zia.firewall.device.os.version |
设备使用的操作系统版本。 |
keyword |
zscaler_zia.firewall.device.owner |
设备的所有者。 |
keyword |
zscaler_zia.firewall.duration.average_duration |
如果会话被聚合,则会话的平均持续时间,以毫秒为单位。 |
long |
zscaler_zia.firewall.duration.milliseconds |
会话或请求持续时间(以毫秒为单位)。 |
long |
zscaler_zia.firewall.duration.seconds |
会话或请求持续时间(以秒为单位)。 |
long |
zscaler_zia.firewall.eedone |
指示 NSS 源配置页面的“源转义字符”字段中指定的字符是否已进行十六进制编码。 |
keyword |
zscaler_zia.firewall.epochtime |
事务的纪元时间。 |
日期 |
zscaler_zia.firewall.external_device_id |
将用户的设备与移动设备管理 (MDM) 解决方案关联的外部设备 ID。 |
keyword |
zscaler_zia.firewall.flow_type |
事务的流类型。 |
keyword |
zscaler_zia.firewall.forward_gateway_name |
转发规则中定义的网关的名称。 |
keyword |
zscaler_zia.firewall.hour |
小时。 |
long |
zscaler_zia.firewall.ip_category |
与服务器 IP 地址对应的 URL 类别。 |
keyword |
zscaler_zia.firewall.ip_protocol |
IP 协议的类型。 |
keyword |
zscaler_zia.firewall.ips.custom_signature |
指示是否应用了自定义 IPS 签名规则。 |
keyword |
zscaler_zia.firewall.ips.rule_label |
应用于防火墙会话的 IPS 策略的名称。 |
keyword |
zscaler_zia.firewall.location |
启动会话的位置的名称。 |
keyword |
zscaler_zia.firewall.location_name |
keyword |
|
zscaler_zia.firewall.login |
电子邮件地址格式的用户登录名。 |
keyword |
zscaler_zia.firewall.minutes |
分钟。 |
long |
zscaler_zia.firewall.month |
月份的名称。 |
keyword |
zscaler_zia.firewall.month_of_year |
一年中的月份。 |
long |
zscaler_zia.firewall.nat |
指示是否应用了目标 NAT 策略。 |
keyword |
zscaler_zia.firewall.nat_rule_label |
应用的 目标 NAT 策略的名称。 |
keyword |
zscaler_zia.firewall.network.application |
访问的网络应用程序。 |
keyword |
zscaler_zia.firewall.network.service |
使用的网络服务。 |
keyword |
zscaler_zia.firewall.obfuscated.client_source_ip |
客户端源 IP 地址的模糊版本。 |
keyword |
zscaler_zia.firewall.obfuscated.device.name |
设备名称的模糊版本。 |
keyword |
zscaler_zia.firewall.obfuscated.device.owner |
设备所有者的模糊版本。 |
keyword |
zscaler_zia.firewall.obfuscated.forward_gateway_name |
转发规则中定义的网关的混淆版本。 |
keyword |
zscaler_zia.firewall.obfuscated.host_name |
设备主机名的模糊版本。 |
keyword |
zscaler_zia.firewall.obfuscated.ip.category |
与服务器 IP 地址对应的 URL 类别的混淆版本。 |
keyword |
zscaler_zia.firewall.obfuscated.ips_rule_label |
应用于防火墙会话的 IPS 策略名称的混淆版本。 |
keyword |
zscaler_zia.firewall.obfuscated.nat_label |
应用的 目标 NAT 策略名称的混淆版本。 |
keyword |
zscaler_zia.firewall.obfuscated.redirect_policy_name |
重定向/转发策略名称的混淆版本。 |
keyword |
zscaler_zia.firewall.obfuscated.rule_label |
应用于事务的规则名称的混淆版本。 |
keyword |
zscaler_zia.firewall.obfuscated.zpa_app_segment |
ZPA 应用程序分段的混淆版本。 |
keyword |
zscaler_zia.firewall.out_bytes |
从客户端发送到服务器的字节数。 |
long |
zscaler_zia.firewall.record.id |
记录 ID。 |
keyword |
zscaler_zia.firewall.redirect_policy_name |
重定向/转发策略的名称。 |
keyword |
zscaler_zia.firewall.rule |
应用于事务的规则的名称。 |
keyword |
zscaler_zia.firewall.rule_label |
keyword |
|
zscaler_zia.firewall.second |
秒。 |
long |
zscaler_zia.firewall.server.destination.ip |
服务器目标 IP 地址。 |
ip |
zscaler_zia.firewall.server.destination.port |
服务器目标端口。 |
long |
zscaler_zia.firewall.server.source.ip |
服务器源 IP 地址。 |
ip |
zscaler_zia.firewall.server.source.port |
服务器源端口。 |
long |
zscaler_zia.firewall.session.count |
聚合的会话数。 |
long |
zscaler_zia.firewall.source_ip_country |
流量的来源国家/地区,由客户端 IP 地址位置确定。 |
keyword |
zscaler_zia.firewall.stateful |
指示防火墙会话是否为有状态会话。 |
keyword |
zscaler_zia.firewall.threat.category |
IPS 引擎在防火墙会话中检测到的威胁类别。 |
keyword |
zscaler_zia.firewall.threat.name |
keyword |
|
zscaler_zia.firewall.threat_name |
IPS 引擎在防火墙会话中检测到的威胁的名称。 |
keyword |
zscaler_zia.firewall.time |
事务的时间和日期。 |
日期 |
zscaler_zia.firewall.timezone |
时区。 |
keyword |
zscaler_zia.firewall.tunnel.ip |
客户端(源)的隧道 IP 地址。 |
ip |
zscaler_zia.firewall.tunnel.type |
用于将流量发送到防火墙的流量转发方法。 |
keyword |
zscaler_zia.firewall.user |
keyword |
|
zscaler_zia.firewall.year |
年份。 |
long |
zscaler_zia.firewall.z_tunnel_version |
Z-Tunnel 版本。 |
keyword |
zscaler_zia.firewall.zpa_app_segment |
Zscaler Private Access (ZPA) 应用程序分段的名称。 |
keyword |
sandbox_report
编辑这是 sandbox_report 数据集。
示例
sandbox_report 的示例事件如下所示
{
"@timestamp": "2024-07-04T12:08:18.143Z",
"agent": {
"ephemeral_id": "d12fe3a6-bd2e-4729-9303-bdbbc18f187e",
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.sandbox_report",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "completed",
"agent_id_status": "verified",
"category": [
"malware"
],
"dataset": "zscaler_zia.sandbox_report",
"duration": 454557000000,
"ingested": "2024-07-04T12:08:30Z",
"kind": "alert",
"original": "{\"Classification\":{\"Category\":\"MALWARE_BOTNET\",\"DetectedMalware\":\"\",\"Max Score\":100,\"Score\":86,\"Type\":\"MALICIOUS\"},\"FileProperties\":{\"DigitalCerificate\":\"\",\"FileSize\":9810,\"FileType\":\"CMD\",\"Issuer\":\"\",\"MD5\":\"8350ded6d39df158e51d6cfbe36fb012\",\"RootCA\":\"\",\"SHA1\":\"f4dd1d176975c70ba8963ebc654a78a6e345cfb6\",\"SSDeep\":\"192:+cgNT7Zj4tvl2Drc+gEakjqBT1W431lXXH1TR8J:InZjevl2Drc+gEakmBT44rXVR8J\",\"Sha256\":\"aff2d40828597fbf482753bec73cc9fc2714484262258875cc23c7d5a7372cee\"},\"Summary\":{\"Analysis\":\"0\",\"Category\":\"SCRIPT\",\"Duration\":454557,\"FileType\":\"CMD\",\"StartTime\":1509567511,\"Status\":\"COMPLETED\",\"TimeUnit\":\"ms\",\"Url\":\"\"},\"SystemSummary\":{\"Risk\":\"LOW\",\"Signature\":\"Allocates memory within range which is reserved for system DLLs\",\"SignatureSources\":[\"\",\"76F90000 page execute and read and write\"]}}",
"risk_score": 86,
"start": "2017-11-01T20:18:31.000Z",
"type": [
"info"
]
},
"file": {
"hash": {
"md5": "8350ded6d39df158e51d6cfbe36fb012",
"sha1": "f4dd1d176975c70ba8963ebc654a78a6e345cfb6",
"sha256": "aff2d40828597fbf482753bec73cc9fc2714484262258875cc23c7d5a7372cee",
"ssdeep": "192:+cgNT7Zj4tvl2Drc+gEakjqBT1W431lXXH1TR8J:InZjevl2Drc+gEakmBT44rXVR8J"
},
"size": 9810
},
"input": {
"type": "cel"
},
"related": {
"hash": [
"8350ded6d39df158e51d6cfbe36fb012",
"f4dd1d176975c70ba8963ebc654a78a6e345cfb6",
"aff2d40828597fbf482753bec73cc9fc2714484262258875cc23c7d5a7372cee",
"192:+cgNT7Zj4tvl2Drc+gEakjqBT1W431lXXH1TR8J:InZjevl2Drc+gEakmBT44rXVR8J"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"zscaler_zia-sandbox_report"
],
"threat": {
"indicator": {
"type": "file"
}
},
"zscaler_zia": {
"sandbox_report": {
"classification": {
"category": "MALWARE_BOTNET",
"max_score": 100,
"score": 86,
"type": "MALICIOUS"
},
"file_properties": {
"file_size": 9810,
"file_type": "CMD",
"md5": "8350ded6d39df158e51d6cfbe36fb012",
"sha1": "f4dd1d176975c70ba8963ebc654a78a6e345cfb6",
"sha256": "aff2d40828597fbf482753bec73cc9fc2714484262258875cc23c7d5a7372cee",
"ssdeep": "192:+cgNT7Zj4tvl2Drc+gEakjqBT1W431lXXH1TR8J:InZjevl2Drc+gEakmBT44rXVR8J"
},
"summary": {
"analysis": "0",
"category": "SCRIPT",
"duration": 454557,
"file": {
"type": "CMD"
},
"start_time": "2017-11-01T20:18:31.000Z",
"status": "COMPLETED",
"time_unit": "ms"
},
"system_summary": {
"risk": "LOW",
"signature": "Allocates memory within range which is reserved for system DLLs",
"signature_sources": [
"76F90000 page execute and read and write"
]
}
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
zscaler_zia.sandbox_report.classification.category |
keyword |
|
zscaler_zia.sandbox_report.classification.detected_malware |
keyword |
|
zscaler_zia.sandbox_report.classification.max_score |
double |
|
zscaler_zia.sandbox_report.classification.score |
double |
|
zscaler_zia.sandbox_report.classification.type |
keyword |
|
zscaler_zia.sandbox_report.exploit.risk |
keyword |
|
zscaler_zia.sandbox_report.exploit.signature |
keyword |
|
zscaler_zia.sandbox_report.exploit.signature_sources |
keyword |
|
zscaler_zia.sandbox_report.file_properties.digital_cerificate |
keyword |
|
zscaler_zia.sandbox_report.file_properties.file_size |
long |
|
zscaler_zia.sandbox_report.file_properties.file_type |
keyword |
|
zscaler_zia.sandbox_report.file_properties.issuer |
keyword |
|
zscaler_zia.sandbox_report.file_properties.md5 |
keyword |
|
zscaler_zia.sandbox_report.file_properties.root_ca |
keyword |
|
zscaler_zia.sandbox_report.file_properties.sha1 |
keyword |
|
zscaler_zia.sandbox_report.file_properties.sha256 |
keyword |
|
zscaler_zia.sandbox_report.file_properties.ssdeep |
keyword |
|
zscaler_zia.sandbox_report.networking.risk |
keyword |
|
zscaler_zia.sandbox_report.networking.signature |
keyword |
|
zscaler_zia.sandbox_report.networking.signature_sources |
keyword |
|
zscaler_zia.sandbox_report.origin.country |
keyword |
|
zscaler_zia.sandbox_report.origin.language |
keyword |
|
zscaler_zia.sandbox_report.origin.risk |
keyword |
|
zscaler_zia.sandbox_report.persistence.risk |
keyword |
|
zscaler_zia.sandbox_report.persistence.signature |
keyword |
|
zscaler_zia.sandbox_report.persistence.signature_sources |
keyword |
|
zscaler_zia.sandbox_report.security_bypass.risk |
keyword |
|
zscaler_zia.sandbox_report.security_bypass.signature |
keyword |
|
zscaler_zia.sandbox_report.security_bypass.signature_sources |
keyword |
|
zscaler_zia.sandbox_report.stealth.risk |
keyword |
|
zscaler_zia.sandbox_report.stealth.signature |
keyword |
|
zscaler_zia.sandbox_report.stealth.signature_sources |
keyword |
|
zscaler_zia.sandbox_report.summary.analysis |
keyword |
|
zscaler_zia.sandbox_report.summary.category |
keyword |
|
zscaler_zia.sandbox_report.summary.duration |
long |
|
zscaler_zia.sandbox_report.summary.file.type |
keyword |
|
zscaler_zia.sandbox_report.summary.start_time |
日期 |
|
zscaler_zia.sandbox_report.summary.start_time_unix |
日期 |
|
zscaler_zia.sandbox_report.summary.status |
keyword |
|
zscaler_zia.sandbox_report.summary.time_unit |
keyword |
|
zscaler_zia.sandbox_report.summary.url |
keyword |
|
zscaler_zia.sandbox_report.system_summary.risk |
keyword |
|
zscaler_zia.sandbox_report.system_summary.signature |
keyword |
|
zscaler_zia.sandbox_report.system_summary.signature_sources |
keyword |
tunnel
编辑这是 tunnel 数据集。
示例
tunnel 的示例事件如下所示
{
"@timestamp": "2021-12-30T11:20:12.000Z",
"agent": {
"ephemeral_id": "85f8a4ec-94a7-4111-9cab-36896851bb15",
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "zscaler_zia.tunnel",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": "81.2.69.143"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "7a8d18bc-b73c-424e-a30b-120ddeb66eeb",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"dataset": "zscaler_zia.tunnel",
"id": "1111111111111111111",
"ingested": "2024-07-04T12:10:30Z",
"kind": "event",
"timezone": "UTC",
"type": [
"info"
]
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.243.6:36470"
}
},
"related": {
"ip": [
"81.2.69.143",
"81.2.69.145"
]
},
"source": {
"ip": "81.2.69.145",
"port": 0
},
"tags": [
"forwarded",
"zscaler_zia-tunnel"
],
"zscaler_zia": {
"tunnel": {
"action": {
"type": "IPSec Phase2"
},
"authentication": {
"algorithm": "HMAC-SHA-1"
},
"destination": {
"end": {
"ip": "81.2.69.143"
},
"start": {
"ip": "81.2.69.143",
"port": 0
}
},
"encryption": {
"algorithm": "AES"
},
"ikeversion": "1",
"life": {
"bytes": 0,
"time": 3600
},
"policy": {
"protocol": "Any"
},
"protocol": "ESP",
"source": {
"end": {
"ip": "81.2.69.145"
},
"start": {
"ip": "81.2.69.145",
"port": 0
}
},
"spi": "123456789",
"type": "IPSEC IKEV 1",
"user_ip": "81.2.69.145"
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.tunnel.action.type |
操作类型。 |
keyword |
zscaler_zia.tunnel.authentication.algorithm |
身份验证算法。 |
keyword |
zscaler_zia.tunnel.authentication.type |
身份验证类型。 |
keyword |
zscaler_zia.tunnel.bytes.received |
Zscaler 在 60 秒采样窗口中从客户收到的字节数。 |
long |
zscaler_zia.tunnel.bytes.sent |
Zscaler 在 60 秒采样窗口中发送给客户的字节数。 |
long |
zscaler_zia.tunnel.datetime |
事件的日期和时间。 |
日期 |
zscaler_zia.tunnel.day |
星期几。 |
keyword |
zscaler_zia.tunnel.day_of_month |
当月的哪一天。 |
long |
zscaler_zia.tunnel.destination.end.ip |
第 2 阶段策略提案 - 目标 IP 结束。 |
ip |
zscaler_zia.tunnel.destination.port |
隧道目标端口。 |
long |
zscaler_zia.tunnel.destination.start.ip |
第 2 阶段策略提案 - 目标 IP 开始。 |
ip |
zscaler_zia.tunnel.destination.start.port |
第 2 阶段策略提案 - 目标端口开始。 |
long |
zscaler_zia.tunnel.destination.vip.address |
隧道目标 VIP 地址。 |
ip |
zscaler_zia.tunnel.dpd_packets |
在 60 秒采样窗口中收到的 DPD 数据包数量。 |
long |
zscaler_zia.tunnel.encryption.algorithm |
加密算法。 |
keyword |
zscaler_zia.tunnel.event |
隧道状态。 |
keyword |
zscaler_zia.tunnel.event_reason |
隧道状态更改的原因。 |
keyword |
zscaler_zia.tunnel.hour |
小时。 |
long |
zscaler_zia.tunnel.ikeversion |
IKE 版本。 |
keyword |
zscaler_zia.tunnel.life.bytes |
生命周期字节。 |
long |
zscaler_zia.tunnel.life.time |
IKE 第 2 阶段的生存时间(秒)。 |
long |
zscaler_zia.tunnel.locationname |
位置名称。 |
keyword |
zscaler_zia.tunnel.minute |
分钟。 |
long |
zscaler_zia.tunnel.month |
月份的名称。 |
keyword |
zscaler_zia.tunnel.month_of_year |
一年中的月份。 |
long |
zscaler_zia.tunnel.obfuscated.location_name |
位置名称的混淆版本。 |
keyword |
zscaler_zia.tunnel.obfuscated.vpn_credential_name |
IPSec 隧道的 VPN 凭证名称的混淆版本。 |
keyword |
zscaler_zia.tunnel.packets.received |
Zscaler 在 60 秒采样窗口中从客户收到的数据包数量。 |
long |
zscaler_zia.tunnel.packets.sent |
Zscaler 在 60 秒采样窗口中发送给客户的数据包数量。 |
long |
zscaler_zia.tunnel.policy.protocol |
第 2 阶段策略提案 - 协议。 |
keyword |
zscaler_zia.tunnel.protocol |
IPSec 隧道协议类型。 |
keyword |
zscaler_zia.tunnel.record.id |
每个日志的唯一记录标识符。 |
keyword |
zscaler_zia.tunnel.second |
秒。 |
long |
zscaler_zia.tunnel.source.end.ip |
第 2 阶段策略提案 - 源 IP 结束。 |
ip |
zscaler_zia.tunnel.source.ip |
隧道源 IP 地址。 |
ip |
zscaler_zia.tunnel.source.port |
隧道源端口。 |
long |
zscaler_zia.tunnel.source.start.ip |
第 2 阶段策略提案 - 源 IP 开始。 |
ip |
zscaler_zia.tunnel.source.start.port |
第 2 阶段策略提案 - 源端口开始。 |
long |
zscaler_zia.tunnel.spi |
安全参数索引。 |
keyword |
zscaler_zia.tunnel.spi_in |
发起方 Cookie。 |
keyword |
zscaler_zia.tunnel.spi_out |
响应方 Cookie。 |
keyword |
zscaler_zia.tunnel.timezone |
时区。 |
keyword |
zscaler_zia.tunnel.type |
隧道类型。 |
keyword |
zscaler_zia.tunnel.user_ip |
ip |
|
zscaler_zia.tunnel.vendor.name |
边缘设备的供应商名称。 |
keyword |
zscaler_zia.tunnel.vpn_credential_name |
IPSec 隧道的 VPN 凭证名称。 |
keyword |
zscaler_zia.tunnel.year |
年份。 |
long |
web
编辑这是 web 数据集。
示例
web 的示例事件如下所示
{
"@timestamp": "2021-12-31T08:08:08.000Z",
"agent": {
"ephemeral_id": "afba03f3-0a10-4b56-998d-0fd4aa4e71ea",
"id": "6df0d50c-dafe-4616-9ed1-10519bfbda98",
"name": "elastic-agent-86843",
"type": "filebeat",
"version": "8.15.0"
},
"data_stream": {
"dataset": "zscaler_zia.web",
"namespace": "65605",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "6df0d50c-dafe-4616-9ed1-10519bfbda98",
"snapshot": false,
"version": "8.15.0"
},
"event": {
"action": "blocked",
"agent_id_status": "verified",
"category": [
"web"
],
"dataset": "zscaler_zia.web",
"ingested": "2024-08-22T16:05:37Z",
"kind": "event",
"timezone": "UTC",
"type": [
"info"
]
},
"file": {
"type": "file"
},
"host": {
"name": "testmachine35"
},
"http": {
"request": {
"bytes": 600,
"method": "CONNECT"
},
"response": {
"bytes": 65
}
},
"input": {
"type": "http_endpoint"
},
"network": {
"protocol": "http_proxy"
},
"related": {
"hosts": [
"testmachine35"
],
"user": [
"administrator1",
"test",
"[email protected]"
]
},
"rule": {
"name": [
"Zscaler Proxy Traffic"
]
},
"tags": [
"forwarded",
"zscaler_zia-web"
],
"user": {
"domain": "example.com",
"email": "[email protected]",
"name": "test"
},
"zscaler_zia": {
"web": {
"app": {
"class": "General Browsing",
"name": "General Browsing"
},
"content_type": "Other",
"department": "Unknown",
"device": {
"owner": "administrator1"
},
"location": "Test DB",
"response": {
"code": "200"
},
"risk": {
"score": 0
},
"rule": {
"type": "FwFilter"
},
"url": {
"category": {
"super": "Information Technology"
},
"class": "Business Use"
}
}
}
}
导出的字段
| 字段 | 说明 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
zscaler_zia.web.action |
服务对事务执行的操作。 |
keyword |
zscaler_zia.web.alpn_protocol |
应用层协议协商 (ALPN) 协议。 |
keyword |
zscaler_zia.web.app.class |
访问的应用程序的 Web 应用程序类。 |
keyword |
zscaler_zia.web.app.name |
云应用程序的名称。 |
keyword |
zscaler_zia.web.app.risk_score |
云应用程序的计算风险指数或分配风险指数。 |
keyword |
zscaler_zia.web.app.rule_label |
应用于应用程序的规则的名称。 |
keyword |
zscaler_zia.web.bandwidth_class_name |
带宽类的名称。 |
keyword |
zscaler_zia.web.bandwidth_rule_name |
带宽规则的名称。 |
keyword |
zscaler_zia.web.bandwidth_throttle |
指示是否由于配置的带宽策略而限制了事务。 |
keyword |
zscaler_zia.web.bypassed.time |
流量绕过 Zscaler 客户端连接器的日期和时间。 |
日期 |
zscaler_zia.web.bypassed.traffic |
指示流量是否绕过了 Zscaler Client Connector。 |
keyword |
zscaler_zia.web.client.cipher |
客户端和 Zscaler 之间通信的协商密码套件。 |
keyword |
zscaler_zia.web.client.cipher_reuse |
客户端密码重用信息。 |
keyword |
zscaler_zia.web.client.internet.ip |
客户端的 Internet(经过 NAT 的公用)IP 地址。 |
ip |
zscaler_zia.web.client.ip |
用户的 IP 地址。 |
ip |
zscaler_zia.web.client.public_ip |
客户端公用 IP 地址。 |
ip |
zscaler_zia.web.client.source_port |
客户端源端口。 |
long |
zscaler_zia.web.client.ssl.fail_count |
失败的客户端 SSL 握手尝试次数。 |
long |
zscaler_zia.web.client.ssl.fail_reason |
客户端 SSL 握手失败的原因。 |
keyword |
zscaler_zia.web.client.tls_version |
客户端和 Zscaler 之间通信使用的 TLS 版本。 |
keyword |
zscaler_zia.web.cloud_name |
Zscaler 云的名称。 |
keyword |
zscaler_zia.web.company |
公司名称。 |
keyword |
zscaler_zia.web.content_type |
内容类型的名称。 |
keyword |
zscaler_zia.web.datacenter.city |
数据中心所在的城市。 |
keyword |
zscaler_zia.web.datacenter.country |
数据中心所在的国家/地区。 |
keyword |
zscaler_zia.web.datacenter.name |
数据中心的名称。 |
keyword |
zscaler_zia.web.day |
星期几。 |
keyword |
zscaler_zia.web.day_of_month |
当月的哪一天。 |
long |
zscaler_zia.web.department |
用户的部门。 |
keyword |
zscaler_zia.web.device.appversion |
设备使用的应用程序版本。 |
keyword |
zscaler_zia.web.device.hostname |
设备的主机名。 |
keyword |
zscaler_zia.web.device.model |
设备的型号。 |
keyword |
zscaler_zia.web.device.name |
设备的名称。 |
keyword |
zscaler_zia.web.device.os.type |
设备的操作系统类型。 |
keyword |
zscaler_zia.web.device.os.version |
设备使用的操作系统版本。 |
keyword |
zscaler_zia.web.device.owner |
设备的所有者。 |
keyword |
zscaler_zia.web.device.type |
设备类型。 |
keyword |
zscaler_zia.web.df.host.head |
该字段包含 HTTP/S 事务,这些事务表明由于请求 URL 和请求的主机头之间的 FQDN 不匹配而导致的域名欺骗。 |
keyword |
zscaler_zia.web.df.host.name |
一个可选字段,包含 TLS 连接的服务器名称指示 (SNI)。 |
keyword |
zscaler_zia.web.dlp.dictionaries.hit_count |
事务中匹配的每个字典的命中次数。 |
keyword |
zscaler_zia.web.dlp.dictionaries.name |
匹配的 DLP 字典。 |
keyword |
zscaler_zia.web.dlp.engine |
匹配的 DLP 引擎。 |
keyword |
zscaler_zia.web.dlp.identifier |
DLP 事件的唯一标识符。 |
keyword |
zscaler_zia.web.dlp.md5 |
事务的 MD5 哈希值。 |
keyword |
zscaler_zia.web.dlp.rule.name |
应用于事务的 DLP 规则的名称。 |
keyword |
zscaler_zia.web.eedone |
指示 NSS 源配置页面的“源转义字符”字段中指定的字符是否已进行十六进制编码。 |
keyword |
zscaler_zia.web.epochtime |
事务的纪元时间。 |
日期 |
zscaler_zia.web.external.device.id |
将用户的设备与移动设备管理 (MDM) 解决方案关联的外部设备 ID。 |
keyword |
zscaler_zia.web.file.class |
事务期间下载的文件类别。 |
keyword |
zscaler_zia.web.file.name |
事务期间下载的文件名称。 |
keyword |
zscaler_zia.web.file.subtype |
适用于通过隔离处理的 Web 流量。 |
keyword |
zscaler_zia.web.file.type |
事务期间下载的文件类型。 |
keyword |
zscaler_zia.web.flow_type |
事务的流类型。 |
keyword |
zscaler_zia.web.forward_gateway.ip |
所用网关的 IP 地址。 |
ip |
zscaler_zia.web.forward_gateway.name |
转发规则中定义的网关的名称。 |
keyword |
zscaler_zia.web.forward_type |
使用的转发方法类型。 |
keyword |
zscaler_zia.web.host |
目标主机名。 |
keyword |
zscaler_zia.web.hour |
小时。 |
long |
zscaler_zia.web.is_ssl_certificate_expired |
指示服务器提供的证书是否已过期。 |
keyword |
zscaler_zia.web.is_ssl_certificate_selfsigned |
指示服务器提供给 ZIA 公共服务边缘的证书是否是自签名证书。 |
keyword |
zscaler_zia.web.is_ssl_certificate_untrusted |
指示服务器证书是否由 Zscaler 信任的证书颁发机构签名。 |
keyword |
zscaler_zia.web.key_protection_type |
指示 TLS 拦截是使用 HSM 保护还是软件保护中间 CA 证书。 |
keyword |
zscaler_zia.web.location |
源的网关位置或子位置。 |
keyword |
zscaler_zia.web.login |
电子邮件地址格式的用户登录名。 |
keyword |
zscaler_zia.web.malware.category |
事务中检测到的恶意软件类别。 |
keyword |
zscaler_zia.web.malware.class |
事务中检测到的恶意软件类别。 |
keyword |
zscaler_zia.web.md5_hash |
在事务中检测到的恶意软件文件的 MD5 哈希值,或发送到沙箱引擎进行分析的文件的 MD5 哈希值。 |
keyword |
zscaler_zia.web.minute |
分钟。 |
long |
zscaler_zia.web.mobile.application.category |
移动应用程序的类别。 |
keyword |
zscaler_zia.web.mobile.application.name |
移动应用程序的名称。 |
keyword |
zscaler_zia.web.mobile.dev.type |
移动设备的类型。 |
keyword |
zscaler_zia.web.module |
访问的应用程序的 Web 应用程序类。 |
keyword |
zscaler_zia.web.month |
月份的名称。 |
keyword |
zscaler_zia.web.month_of_year |
一年中的月份。 |
long |
zscaler_zia.web.nss.service.ip |
NSS 的服务 IP 地址。 |
ip |
zscaler_zia.web.obfuscated.app_rule_label |
应用于应用程序的规则名称的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.bendwidth.class_name |
带宽类名称的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.client.ip |
用户 IP 地址的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.client.public.ip |
客户端公共 IP 地址的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.device.host_name |
设备主机名的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.device.name |
设备名称的模糊版本。 |
keyword |
zscaler_zia.web.obfuscated.device.owner |
设备所有者的模糊版本。 |
keyword |
zscaler_zia.web.obfuscated.dlp.dictionaries |
匹配的 DLP 字典的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.dlp.engine |
匹配的 DLP 引擎的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.dlp.rule.name |
应用的 DLP 规则名称的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.forward_gateway_name |
转发规则中定义的网关的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.login |
用户登录名的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.rule.name |
重定向/转发策略名称的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.url.category |
目标 URL 类别的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.url.filter_rule_label |
应用于 URL 过滤器的规则名称的混淆版本。 |
keyword |
zscaler_zia.web.obfuscated.zpa_app_segment |
ZPA 应用程序分段的混淆版本。 |
keyword |
zscaler_zia.web.policy.reason |
SSL 策略原因。 |
keyword |
zscaler_zia.web.product_version |
当前产品版本。 |
keyword |
zscaler_zia.web.prototype |
事务的协议类型。 |
keyword |
zscaler_zia.web.reason |
服务采取的操作以及应用的策略。 |
keyword |
zscaler_zia.web.record.id |
每个日志的唯一记录标识符。 |
keyword |
zscaler_zia.web.redirect_policy_name |
重定向/转发策略的名称。 |
keyword |
zscaler_zia.web.referer.host |
引用 URL 的主机名。 |
keyword |
zscaler_zia.web.referer.name |
HTTP 引用 URL。 |
keyword |
zscaler_zia.web.request.header_size |
HTTP 请求头的大小(以字节为单位)。 |
long |
zscaler_zia.web.request.method |
HTTP 请求方法。 |
keyword |
zscaler_zia.web.request.payload |
HTTP 请求有效负载的大小。 |
long |
zscaler_zia.web.request.size |
请求大小(以字节为单位)。 |
long |
zscaler_zia.web.request.version |
HTTP 请求版本。 |
keyword |
zscaler_zia.web.response.code |
发送到客户端的 HTTP 响应代码。 |
keyword |
zscaler_zia.web.response.header_size |
HTTP 响应头的大小(以字节为单位)。 |
long |
zscaler_zia.web.response.payload |
HTTP 响应有效负载的大小。 |
long |
zscaler_zia.web.response.size |
HTTP 响应的总大小(以字节为单位)。 |
long |
zscaler_zia.web.response.version |
HTTP 响应版本。 |
keyword |
zscaler_zia.web.risk.score |
目标 URL 的页面风险指数得分。 |
double |
zscaler_zia.web.rule.name |
应用于事务的规则的名称。 |
keyword |
zscaler_zia.web.rule.type |
策略类型。 |
keyword |
zscaler_zia.web.second |
秒。 |
long |
zscaler_zia.web.server.certificate.validation.period |
服务器证书的到期时间。 |
keyword |
zscaler_zia.web.server.certificate_validation_chain |
证书链的验证。 |
keyword |
zscaler_zia.web.server.certificate_validation_type |
服务器证书的验证方法。 |
keyword |
zscaler_zia.web.server.cipher |
Zscaler 和服务器之间通信的协商密码套件。 |
keyword |
zscaler_zia.web.server.cipher_reuse |
服务器密码重用信息。 |
keyword |
zscaler_zia.web.server.ip |
目标服务器 IP 地址。 |
ip |
zscaler_zia.web.server.ocsp_result |
OCSP 结果/证书吊销结果。 |
keyword |
zscaler_zia.web.server.tls_version |
ZIA 公共服务边缘和服务器之间通信使用的 TLS/SSL 版本。 |
keyword |
zscaler_zia.web.server.wildcard_certificate |
服务器通配符证书。 |
keyword |
zscaler_zia.web.sha256 |
相同文件的哈希值。 |
keyword |
zscaler_zia.web.ssl_decrypted |
指示事务是否已进行 SSL 检查。 |
keyword |
zscaler_zia.web.threat.name |
事务中检测到的威胁名称。 |
keyword |
zscaler_zia.web.threat.severity |
事务中检测到的威胁严重性。 |
keyword |
zscaler_zia.web.throttle.request_size |
上行方向(上传)中受限制的事务大小(以字节为单位)。 |
long |
zscaler_zia.web.throttle.response_size |
下行方向(下载)中受限制的事务大小(以字节为单位)。 |
long |
zscaler_zia.web.time |
事务的时间和日期。 |
日期 |
zscaler_zia.web.timezone |
时区。 |
keyword |
zscaler_zia.web.total.size |
HTTP 事务的总大小(以字节为单位)。 |
long |
zscaler_zia.web.traffic_redirect_method |
将流量转发到 ZIA 公共服务边缘的方法。 |
keyword |
zscaler_zia.web.unscannable.type |
不可扫描的文件类型。 |
keyword |
zscaler_zia.web.upload.doc.type_name |
事务期间上传或下载的文档类型。 |
keyword |
zscaler_zia.web.upload.file.class |
事务期间上传的文件类别。 |
keyword |
zscaler_zia.web.upload.file.name |
事务期间上传的文件名称。 |
keyword |
zscaler_zia.web.upload.file.subtype |
上传的文件的子类型(扩展名)。 |
keyword |
zscaler_zia.web.upload.file.type |
事务期间上传的文件类型。 |
keyword |
zscaler_zia.web.url.category.sub |
目标 URL 的类别。 |
keyword |
zscaler_zia.web.url.category.super |
目标 URL 的超级类别。 |
keyword |
zscaler_zia.web.url.category_method |
指的是 URL 类别的来源。 |
keyword |
zscaler_zia.web.url.class |
目标 URL 的类别。 |
keyword |
zscaler_zia.web.url.filter_rule_label |
应用于 URL 过滤器的规则名称。 |
keyword |
zscaler_zia.web.url.name |
目标 URL。 |
keyword |
zscaler_zia.web.user_agent.class |
用户代理类别。 |
keyword |
zscaler_zia.web.user_agent.name |
已知和未知代理的完整用户代理字符串。 |
keyword |
zscaler_zia.web.user_agent.token |
用户代理令牌。 |
keyword |
zscaler_zia.web.user_location_name |
适用于通过隔离处理的 Web 流量。 |
keyword |
zscaler_zia.web.year |
年份。 |
long |
zscaler_zia.web.z_tunnel_version |
Z-Tunnel 版本。 |
keyword |
zscaler_zia.web.zpa_app_segment |
Zscaler Private Access (ZPA) 应用程序分段的名称。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
3.5.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.4.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.3.0 |
Bug 修复 (查看拉取请求) 增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.4 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.3 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.2.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.1.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
3.0.4 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.0.3 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.0.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.0.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
3.0.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.20.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.20.1 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.20.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.19.2 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.19.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.19.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.18.3 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.18.2 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.18.1 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.18.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.17.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.16.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.15.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.14.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.13.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.12.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.11.1 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.11.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.7.3 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.7.2 |
增强 (查看拉取请求) |
— |
2.7.1 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.6.1 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.4.1 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.3.1 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.3.0 |
Bug 修复 (查看拉取请求) 增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.3 |
增强 (查看拉取请求) |
— |
0.1.2 |
增强 (查看拉取请求) |
— |
0.1.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |