Nmap 编解码插件

对于默认未捆绑的插件，可以通过运行bin/logstash-plugin install logstash-codec-nmap轻松安装。有关更多详细信息，请参阅使用插件。

有关插件的问题，请在Discuss论坛中开设主题。对于错误或功能请求，请在Github中开设问题。有关 Elastic 支持的插件列表，请查阅Elastic 支持矩阵。

此编解码器用于解析以 XML 格式序列化的 nmap 输出数据。 Nmap (“Network Mapper”) 是一个用于网络发现和安全审计的免费开源实用程序。有关 nmap 的更多信息，请参阅 https://nmap.org/。

此编解码器只能用于解码数据。

事件类型如下所示

nmap_scan_metadata：一个包含有关扫描的顶级信息的对象，包括有多少主机处于启动状态和有多少主机处于关闭状态。当您需要检查基于 DNS 的主机名是否未解析时，此信息非常有用，其中这两个数字都将为零。nmap_host：每个主机创建一个事件。包含单个主机的完整数据，包括打开的端口和作为嵌套结构的路由跟踪信息。nmap_port：每个主机/端口创建一个事件。这会重复 nmap_host 中已有的数据：这是为了在您希望在 Elasticsearch 中将端口建模为单独的文档（Kibana 更喜欢这种方式）的情况下而添加的。nmap_traceroute_link：每个路由跟踪*连接*输出一个，其中包含一个描述每个跃点的from和to对象。请注意，由于每个跟踪 ICMP 数据包可能采用不同的路由，因此路由跟踪跃点数据并不总是正确的。对于 Kibana 可视化也非常有用。