Nmap 编解码器插件

对于默认情况下未捆绑的插件，可以通过运行 bin/logstash-plugin install logstash-codec-nmap轻松安装。有关更多详细信息，请参阅使用插件。

如果您对该插件有任何疑问，请在论坛中发布主题。对于错误或功能请求，请在Github中提交问题。有关 Elastic 支持的插件列表，请参阅Elastic 支持矩阵。

此编解码器用于解析以 XML 格式序列化的nmap输出数据。Nmap（“网络映射器”）是一个免费的开源实用程序，用于网络发现和安全审计。有关 nmap 的更多信息，请参阅https://nmap.org/。

此编解码器只能用于解码数据。

事件类型如下所示

nmap_scan_metadata：包含有关扫描的顶级信息的事件，包括有多少台主机已启动以及有多少台主机已关闭。在您需要检查基于 DNS 的主机名是否无法解析的情况下非常有用，在这种情况下，这两个数字都将为零。nmap_host：每个主机创建一个事件。涵盖单个主机的完整数据，包括开放端口和路由跟踪信息（作为嵌套结构）。nmap_port：每个主机/端口创建一个事件。这会复制nmap_host中已有的数据：这是为了在您希望将端口建模为 Elasticsearch 中的单独文档（Kibana 首选）的情况下添加的。nmap_traceroute_link：每个路由跟踪*连接*输出其中一个，其中包含一个from和一个to对象，用于描述每个跃点。请注意，由于每个跟踪 ICMP 数据包可能会采用不同的路由，因此路由跟踪跃点数据并不总是正确的。对于 Kibana 可视化也非常有用。