Nmap 编解码器插件

对于默认情况下未捆绑的插件，可以通过运行 bin/logstash-plugin install logstash-codec-nmap 轻松安装。有关更多详细信息，请参阅 使用插件。

有关插件的问题，请在 Discuss 论坛中发起主题。对于错误或功能请求，请在 Github 中提交问题。有关 Elastic 支持的插件列表，请查阅 Elastic 支持矩阵。

此编解码器用于解析 nmap 输出数据，这些数据以 XML 格式序列化。Nmap（“网络映射器”）是一个免费的开源实用程序，用于网络发现和安全审计。有关 nmap 的更多信息，请参阅 https://nmap.org/。

此编解码器只能用于解码数据。

事件类型列在下面

nmap_scan_metadata：一个包含有关扫描的顶级信息的 object，包括有多少主机处于活动状态，以及有多少主机处于非活动状态。对于需要检查基于 DNS 的主机名是否无法解析的情况很有用，在这种情况下，这两个数字都将为零。nmap_host：每个主机创建一个事件。涵盖单个主机的完整数据，包括开放端口和作为嵌套结构的 traceroute 信息。nmap_port：每个主机/端口创建一个事件。这重复了 nmap_host 中已有的数据：这是为了在您希望在 Elasticsearch 中将端口建模为单独的文档（Kibana 更喜欢这样）的情况下而添加的。nmap_traceroute_link：每个 traceroute *连接* 输出一个，其中包含一个 from 和一个 to object，描述每个跃点。请注意，由于每个跟踪 ICMP 数据包可能会走不同的路由，因此 traceroute 跃点数据并不总是正确的。对于 Kibana 可视化也很有用。